SMB Relay

SMB Relay a SMB Relay 2 sú špeciálne programy, ktoré dokážu vykonať útok na vzdialený počítač. Program využíva protokol pre zdieľanie súborov Server Message Block previazaný s NetBIOSom. Ak používateľ zdieľa adresár alebo disk v rámci lokálnej siete, využíva s najväčšou pravdepodobnosťou tento spôsob zdieľania.

V rámci komunikácie v sieti potom dochádza k odosielaniu kontrolných súčtov, „hashov“ používateľských hesiel.

SMB Relay zachytí komunikáciu na UDP porte 139 a 445, presmeruje pakety medzi klientom a serverom danej stanice a modifikuje ich. Po pripojení sa a autentifikácii je klientska stanica odpojená a SMB Relay vytvorí novú virtuálnu IP adresu. K tejto adrese sa potom dá pripojiť pomocou príkazu „net use \\192.168.1.1“ a adresa môže byť využívaná všetkými vstavanými sieťovými funkciami vo Windows. Program prenáša všetku SMB komunikáciu okrem negociácie a autentifikácie. Pokiaľ je vzdialený počítač pripojený, útočník sa na danú IP adresu môže kedykoľvek pripojiť.

Program SMB Relay 2 pracuje na rovnakom princípe, namiesto IP adries ale používa mená z NetBIOS. Oba programy umožňujú útoky typu „man-in-the-middle“ (človek uprostred) – teda útoky, kde útočník dokáže čítať, vkladať a meniť odkazy medzi dvomi stranami bez toho, aby ktorákoľvek zo strán o tom vedela. Najčastejším príznakom je, že systém prestane reagovať, alebo dôjde k náhlemu reštartu.

Odporúčanou ochranou proti týmto útokom je zvýšenie kvality autentifikácie pomocou hesiel alebo kľúčov.