SMB Relay 攻击
SMB Relay 攻击 是什么?
SMB Relay 攻击NTLM Relay 的一种特定变体,攻击者将受害者的 SMB 认证转发到另一台 SMB 服务器,以受害者身份获取代码执行或文件访问。
SMB Relay 攻击利用 Windows 文件共享在未强制 SMB 签名时的认证机制。攻击者通过 Responder 等手段污染名称解析,或诱导受害者连接到恶意 UNC 路径,从而把自己置于受害主机与目标服务器之间。然后将受害者的 NTLM 认证转发到一个不要求签名的目标 SMB 服务器。如果被转发的身份在目标上拥有本地管理员权限,攻击者就能通过 PsExec 式服务安装执行命令、创建计划任务,或读取敏感共享。最主要的缓解措施是在客户端和服务端都强制 SMB 签名;仅 Kerberos 或仅 LDAPS 的环境可进一步降低暴露面。标志性工具是 Impacket 的 smbrelayx 与 ntlmrelayx 加 -t smb://。
● 示例
- 01
通过将一台财务工作站的 NTLM 转发到使用相同本地管理员密码的另一台机器,实现横向控制。
- 02
在转发捕获的 NTLMv2 哈希后,从未启用签名的文件服务器读取薪酬数据。
● 常见问题
SMB Relay 攻击 是什么?
NTLM Relay 的一种特定变体,攻击者将受害者的 SMB 认证转发到另一台 SMB 服务器,以受害者身份获取代码执行或文件访问。 它属于网络安全的 攻击与威胁 分类。
SMB Relay 攻击 是什么意思?
NTLM Relay 的一种特定变体,攻击者将受害者的 SMB 认证转发到另一台 SMB 服务器,以受害者身份获取代码执行或文件访问。
SMB Relay 攻击 是如何工作的?
SMB Relay 攻击利用 Windows 文件共享在未强制 SMB 签名时的认证机制。攻击者通过 Responder 等手段污染名称解析,或诱导受害者连接到恶意 UNC 路径,从而把自己置于受害主机与目标服务器之间。然后将受害者的 NTLM 认证转发到一个不要求签名的目标 SMB 服务器。如果被转发的身份在目标上拥有本地管理员权限,攻击者就能通过 PsExec 式服务安装执行命令、创建计划任务,或读取敏感共享。最主要的缓解措施是在客户端和服务端都强制 SMB 签名;仅 Kerberos 或仅 LDAPS 的环境可进一步降低暴露面。标志性工具是 Impacket 的 smbrelayx 与 ntlmrelayx 加 -t smb://。
如何防御 SMB Relay 攻击?
针对 SMB Relay 攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
SMB Relay 攻击 还有哪些其他名称?
常见的别称包括: SMB relaying, 跨协议 SMB Relay。
● 相关术语
- attacks№ 746
NTLM Relay 攻击
一种中间人攻击 (MITRE T1557.001),攻击者将受害者的 NTLM 认证转发到另一服务,从而在不知密码的情况下冒充受害者。
- attacks№ 620
LLMNR 投毒
一种中间人技术 (MITRE T1557.001),滥用 UDP/5355 上的链路本地多播名称解析协议,将受害者引导至攻击者控制的主机。
- attacks№ 715
NBT-NS 投毒
一种中间人攻击,利用 UDP/137 上的传统 NetBIOS 名称服务流量伪造名称应答,以捕获 NTLM 认证。
- attacks№ 924
Responder 攻击
利用 Laurent Gaffie 的 Responder 工具对 LLMNR、NBT-NS 和 mDNS 进行投毒,运行伪造认证服务,在本地网络中捕获或转发 NTLM 凭据的攻击。
- attacks№ 790
哈希传递攻击
一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。