Атака SMB Relay
Что такое Атака SMB Relay?
Атака SMB RelayЧастный случай NTLM Relay: атакующий пересылает SMB-аутентификацию жертвы на другой SMB-сервер, чтобы получить исполнение кода или доступ к файлам от её имени.
SMB Relay использует аутентификацию файлового доступа Windows, когда подпись SMB не обязательна. Атакующий встаёт между жертвой и целевым сервером — обычно отравляя разрешение имён Responder или принуждая жертву обратиться к вредоносному UNC-пути. NTLM-аутентификация жертвы переадресуется на SMB-сервер, не требующий подписи. Если у переданного пользователя есть локальные права администратора на цели, атакующий может выполнить команды через установку сервиса в стиле PsExec, создавать задания и читать чувствительные шары. Главная мера защиты — обязательная подпись SMB на клиентах и серверах; среды только с Kerberos или LDAPS снижают риск ещё сильнее. Стандартные инструменты — smbrelayx и ntlmrelayx -t smb:// из Impacket.
● Примеры
- 01
Компрометация финансовой рабочей станции путём ретрансляции её NTLM на узел с переиспользованным паролем локального админа.
- 02
Чтение зарплатных данных с файл-сервера без подписи после ретрансляции захваченного NTLMv2-хеша.
● Частые вопросы
Что такое Атака SMB Relay?
Частный случай NTLM Relay: атакующий пересылает SMB-аутентификацию жертвы на другой SMB-сервер, чтобы получить исполнение кода или доступ к файлам от её имени. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Атака SMB Relay?
Частный случай NTLM Relay: атакующий пересылает SMB-аутентификацию жертвы на другой SMB-сервер, чтобы получить исполнение кода или доступ к файлам от её имени.
Как работает Атака SMB Relay?
SMB Relay использует аутентификацию файлового доступа Windows, когда подпись SMB не обязательна. Атакующий встаёт между жертвой и целевым сервером — обычно отравляя разрешение имён Responder или принуждая жертву обратиться к вредоносному UNC-пути. NTLM-аутентификация жертвы переадресуется на SMB-сервер, не требующий подписи. Если у переданного пользователя есть локальные права администратора на цели, атакующий может выполнить команды через установку сервиса в стиле PsExec, создавать задания и читать чувствительные шары. Главная мера защиты — обязательная подпись SMB на клиентах и серверах; среды только с Kerberos или LDAPS снижают риск ещё сильнее. Стандартные инструменты — smbrelayx и ntlmrelayx -t smb:// из Impacket.
Как защититься от Атака SMB Relay?
Защита от Атака SMB Relay обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака SMB Relay?
Распространённые альтернативные названия: SMB-relay, Кросс-протокольный SMB Relay.
● Связанные термины
- attacks№ 746
Атака NTLM Relay
Атака «человек посередине» (MITRE T1557.001), в которой злоумышленник пересылает NTLM-аутентификацию жертвы другому сервису и выдаёт себя за неё, не зная пароля.
- attacks№ 620
LLMNR-отравление
Техника «человек посередине» (MITRE T1557.001), эксплуатирующая протокол Link-Local Multicast Name Resolution на UDP/5355 для перенаправления жертв на хосты атакующего.
- attacks№ 715
NBT-NS-отравление
Атака «человек посередине», использующая устаревший трафик NetBIOS Name Service на UDP/137 для подмены ответов на имена и сбора NTLM-аутентификаций.
- attacks№ 924
Атака с использованием Responder
Атака с использованием инструмента Responder от Лорана Гафье, отравляющего LLMNR, NBT-NS и mDNS, поднимающего ложные службы аутентификации и перехватывающего или ретранслирующего NTLM-данные в локальной сети.
- attacks№ 790
Pass-the-Hash
Атака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля.