SMB リレー攻撃
SMB リレー攻撃 とは何ですか?
SMB リレー攻撃NTLM リレーの一種で、攻撃者が被害者の SMB 認証を別の SMB サーバーに転送し、被害者のままコード実行やファイルアクセスを得る攻撃。
SMB リレーは、SMB 署名が強制されていない Windows ファイル共有の認証を悪用します。攻撃者は Responder で名前解決を汚染したり、悪性 UNC パスへ被害者を誘導したりして、被害ホストとターゲットサーバーの間に立ちます。被害者の NTLM 認証を、署名を必須としない別の SMB サーバーへ転送し、その被害者として認証します。転送した ID がターゲットでローカル管理者であれば、PsExec 風のサービスインストール、タスクスケジュール、機密共有の読み取りなどが可能です。主な緩和策はクライアント・サーバー双方で SMB 署名を強制することで、Kerberos のみ・LDAPS のみの環境はさらに露出を下げます。標準ツールは Impacket の smbrelayx および ntlmrelayx -t smb:// です。
● 例
- 01
経理用ワークステーションの NTLM を、同じローカル管理者パスワードを使う別のホストへリレーして侵害する。
- 02
署名未強制のファイルサーバーから、リレーした NTLMv2 ハッシュを使って給与データを読み取る。
● よくある質問
SMB リレー攻撃 とは何ですか?
NTLM リレーの一種で、攻撃者が被害者の SMB 認証を別の SMB サーバーに転送し、被害者のままコード実行やファイルアクセスを得る攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
SMB リレー攻撃 とはどういう意味ですか?
NTLM リレーの一種で、攻撃者が被害者の SMB 認証を別の SMB サーバーに転送し、被害者のままコード実行やファイルアクセスを得る攻撃。
SMB リレー攻撃 はどのように機能しますか?
SMB リレーは、SMB 署名が強制されていない Windows ファイル共有の認証を悪用します。攻撃者は Responder で名前解決を汚染したり、悪性 UNC パスへ被害者を誘導したりして、被害ホストとターゲットサーバーの間に立ちます。被害者の NTLM 認証を、署名を必須としない別の SMB サーバーへ転送し、その被害者として認証します。転送した ID がターゲットでローカル管理者であれば、PsExec 風のサービスインストール、タスクスケジュール、機密共有の読み取りなどが可能です。主な緩和策はクライアント・サーバー双方で SMB 署名を強制することで、Kerberos のみ・LDAPS のみの環境はさらに露出を下げます。標準ツールは Impacket の smbrelayx および ntlmrelayx -t smb:// です。
SMB リレー攻撃 からどのように防御しますか?
SMB リレー攻撃 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
SMB リレー攻撃 の別名は何ですか?
一般的な別名: SMB リレー, クロスプロトコル SMB リレー。
● 関連用語
- attacks№ 746
NTLM リレー攻撃
MITRE T1557.001 に該当する中間者攻撃。被害者の NTLM 認証を別のサービスへ転送し、パスワードを知らないまま被害者になりすます。
- attacks№ 620
LLMNR ポイズニング
MITRE T1557.001 に該当する中間者攻撃手法。UDP/5355 上の Link-Local Multicast Name Resolution プロトコルを悪用し、被害者を攻撃者管理のホストに誘導する。
- attacks№ 715
NBT-NS ポイズニング
UDP/137 上のレガシーな NetBIOS Name Service 通信を悪用して名前応答を偽造し、NTLM 認証を収集する中間者攻撃。
- attacks№ 924
Responder 攻撃
Laurent Gaffie 氏の Responder を用いて LLMNR・NBT-NS・mDNS をポイズニングし、不正な認証サーバーを立ち上げて、ローカルネットワーク上の NTLM 認証情報を収集・リレーする攻撃。
- attacks№ 790
Pass-the-Hash
平文パスワードではなく盗み取った NTLM ハッシュを用いて Windows に認証する、資格情報再利用攻撃。