Metoda SMB Relay

SMB Relay i SMB Relay 2 to specjalne programy do przeprowadzania ataków na komputery zdalne. Oba korzystają z protokołu udostępniania plików Server Message Block, który jest składnikiem zestawu protokołów NetBIOS. Jeśli użytkownik udostępnia foldery lub katalogi w sieci lokalnej, najprawdopodobniej jest stosowany ten protokół udostępniania plików.

Podczas komunikacji w obrębie sieci lokalnej następuje wymiana sygnatur haseł.

Program SMB Relay łączy się na portach UDP 139 i 445, przekazuje pakiety wymienione między klientem a serwerem i modyfikuje je. Po nawiązaniu połączenia i uwierzytelnieniu klient jest odłączany. Program SMB Relay tworzy nowy wirtualny adres IP. Dostęp do nowego adresu można uzyskać za pomocą polecenia „net use \\192.168.1.1”. Adres ten może być następnie używany przez wszystkie funkcje sieciowe systemu Windows. Program SMB Relay przepuszcza całą komunikację opartą na protokole SMB z wyjątkiem negocjacji połączenia i uwierzytelniania. Zdalni intruzi mogą korzystać z utworzonego adresu IP, dopóki jest podłączony komputer kliencki.

Program SMB Relay 2 działa w sposób analogiczny jak SMB Relay, ale zamiast adresów IP używa nazw NetBIOS. Oba programy mogą służyć do przeprowadzania ataków typu „man-in-the-middle”. Umożliwiają one zdalnym intruzom odczytywanie, wstawianie i modyfikowanie po kryjomu wiadomości przesyłanych między dwoma końcowymi urządzeniami komunikacyjnymi. Komputery zaatakowane w ten sposób bardzo często przestają reagować na polecenia użytkownika lub nieoczekiwanie uruchamiają się ponownie.

W celu uniknięcia ataków zalecamy stosowanie haseł lub kluczy uwierzytelniających.