SMB 릴레이

SMB 릴레이 및 SMB 릴레이 2는 원격 컴퓨터에 대한 공격을 수행할 수 있는 특수 프로그램입니다. 이 프로그램은 NetBIOS를 기반으로 하는 서버 메시지 블록 파일 공유 프로토콜을 활용합니다. LAN 내에서 폴더 또는 디렉터리를 공유하는 사용자는 이 파일 공유 프로토콜을 사용할 가능성이 높습니다.

로컬 네트워크 통신 내에서 비밀번호 해시가 교환됩니다.

SMB 릴레이는 UDP 포트 139 및 445에서 연결을 수신하고, 클라이언트와 서버가 교환하는 패킷을 릴레이한 다음 수정합니다. 연결하여 인증하면 클라이언트 연결이 끊깁니다. SMB 릴레이에서 새로운 가상 IP 주소를 생성합니다. 새 주소에는 “net use \\192.168.1.1" 명령을 사용하여 접근할 수 있습니다. 그러면 Windows 네트워크 기능에서 해당 주소를 사용할 수 있습니다. SMB 릴레이는 협상 및 인증을 제외한 SMB 프로토콜 통신을 릴레이합니다. 클라이언트 컴퓨터가 연결되어 있는 동안에는 원격 공격자가 해당 IP 주소를 사용할 수 있습니다.

SMB 릴레이 2는 SMB 릴레이와 동일한 원리로 작동합니다. 단 IP 주소 대신 NetBIOS 이름을 사용한다는 점이 다릅니다. SMB 릴레이와 SMB 릴레이 2는 모두 “메시지 가로채기” 공격을 수행할 수 있습니다. 이러한 공격을 통해 원격 공격자는 들키지 않고 두 개의 통신 끝점 간에 교환되는 메시지를 읽고, 삽입하고, 수정할 수 있습니다. 이러한 공격에 노출된 컴퓨터는 종종 응답을 중지하거나 예기치 않게 다시 시작됩니다.

공격을 피하려면 인증 비밀번호 또는 키를 사용하는 것이 좋습니다.