รีเลย์ SMB

SMB Relay และ SMB Relay 2 เป็นโปรแกรมพิเศษที่สามารถดำเนินการโจมตีคอมพิวเตอร์ระยะไกล โปรแกรมนี้ใช้ประโยชน์จากโปรโตคอลการใช้ไฟล์บล็อคข้อความของเซิร์ฟเวอร์ร่วมกัน ซึ่งทำงานเป็นชั้นหนึ่งของ NetBIOS ถ้าผู้ใช้ใช้โฟลเดอร์หรือไดเรกทอรีร่วมกันภายใน LAN เป็นไปได้มากว่าจะมีการใช้โปรโตคอลการใช้ไฟล์ร่วมกัน

ภายในการสื่อสารของเครือข่ายเฉพาะที่ จะมีการแลกเปลี่ยนแฮชของรหัสผ่าน

SMB Relay ได้รับการเชื่อมต่อในพอร์ต UDP หมายเลข 139 และ 445 รีเลย์แพ็คเก็ตที่แลกเปลี่ยนโดยไคลเอ็นต์และเซิร์ฟเวอร์ และแก้ไขแพ็คเก็ตเหล่านั้น หลังจากเชื่อมต่อและตรวจสอบสิทธิ์ ไคลเอ็นต์จะถูกตัดการเชื่อมต่อ SMB Relay จะสร้างที่อยู่ IP เสมือนขึ้นใหม่ ที่อยู่ใหม่นี้สามารถเข้าถึงได้โดยใช้คำสั่ง "net use \\192.168.1.1" จากนั้นจะสามารถใช้ที่อยู่นี้โดยฟังก์ชันเครือข่ายของ Windows SMB Relay จะส่งต่อการสื่อสารของโปรโตคอล SMB ยกเว้นการเริ่มต้นการสื่อสารและการตรวจสอบสิทธิ์ ผู้โจมตีระยะไกลสามารถใช้ที่อยู่ IP ตราบเท่าที่คอมพิวเตอร์ไคลเอ็นต์มีการเชื่อมต่อ

SMB Relay 2 ทำงานในหลักการเดียวกับ SMB Relay แต่จะใช้ชื่อ NetBIOS แทนที่จะเป็นที่อยู่ IP ทั้งสองแบบสามารถใช้การโจมตีแบบ "คนกลางในการสื่อสาร" ได้ การโจมตีเหล่านี้ทำให้ผู้โจมตีระยะไกลสามารถอ่าน แทรก และปรับเปลี่ยนข้อความที่แลกเปลี่ยนระหว่างจุดสิ้นสุดของการเชื่อมต่อทั้งสองจุดโดยไม่เป็นที่สังเกต คอมพิวเตอร์ที่ถูกโจมตีในลักษณะนี้มักจะหยุดการตอบสนองหรือเริ่มต้นระบบใหม่โดยไม่คาดหมาย

เพื่อหลีกเลี่ยงการโจมตี เราขอแนะนำให้คุณใช้รหัสผ่านหรือคีย์การตรวจสอบสิทธิ์