SMBリレー

SMB RelayとSMB Relay 2は、リモートコンピューターに攻撃を仕掛けることができる特殊なプログラムです。 このプログラムは、Server Message Blockファイル共有プロトコルを利用します。このプロトコルはNetBIOSの上位層で機能します。 LAN内でフォルダーやディレクトリーを共有する場合、このファイル共有プロトコルを使用するのが一般的です。

ローカルネットワーク通信内では、パスワードハッシュが交換されます。

SMB Relayは、UDPポート139と445で接続を受信し、クライアントとサーバー間で交換されるパケットを中継して、そのパケットを書き換えます。 接続して認証した後、クライアントは接続を切断されます。 SMB Relayは、新しい仮想のIPアドレスを作成します。 新しいアドレスには、コマンド"net use \\192.168.1.1"でアクセスできます。 これ以降、このアドレスは、Windowsのネットワーク機能で使用できます。 SMB Relayはネゴシエーションと認証以外のSMBプロトコル通信を中継します。 クライアントコンピューターが接続している限り、リモートの攻撃者はこのIPアドレスを利用できます。

SMB Relay 2はSMB Relayと同じ原理で機能しますが、IPアドレスではなくNetBIOS名を使用する点が異なります。 両方とも「中間者攻撃」という攻撃を実行できます。 この攻撃では、リモートの攻撃者は、2つの通信端末間で交換されるメッセージの読み取り、挿入、および変更を密かに行えます。 このような攻撃にさらされるコンピュータは、応答しなくなるか、突然に再起動することがよくあります。

攻撃を避けるため、認証パスワードか認証鍵の使用をお勧めします。