Что такое атака SMB?

Компания HeimDal security подготовили потрясающе простую и лаконичную статью об атаках типа SMB. Рекомендуем ознакомиться вам с её адаптированным переводом. Поехали!

Компании на подъеме выручки и прибыли имеют свойство откладывать развитие кибербезопасности бизнеса, а это огромная ошибка! В арсенале хакеров картбланш от фишинговых атак, до программ вымогателей и шифровальщиков – всё готово, чтобы добраться до вас. Это не паранойя – простоя констатация фактов.

Что вообще такое SMB

Нет, это не аббревиатура в виде «прикольного» сокращения для кружков по интересам типа Super Mario Brothers. Термин расшифровывается как Server Message Block – сетевой протокол обмена файлами, который работает на уровне приложений и в значительной степени зависит от протоколов более низкого уровня (например, TCP/IP и NetBIOS).

Основное назначение SMB – позволить клиенту взаимодействовать с сервером. Он является протоколом типа клиент-сервер. SMB управляет всем – от обмена файлами в интернете до редактирования документов на удаленной машине.

Даже предупреждение “не хватает бумаги”, которое вы получаете на своем компьютере при попытке распечатать документ, является работой протокола SMB.

Как происходит атака SMB

Атака SMB Relay нарушает протокол NTLM challenge-response. Обычно все сеансы SMB используют протокол NTML для шифрования и аутентификации. Однако большинство системных администраторов переключились на KILE через SMB после того, как исследования показали, что первая версия NTLM восприимчива к атакам Man-in-the-Middle.

Идея SMB атаки заключается в том, чтобы захватить контроль между клиентом и сервером, чтобы потом перехватывать пакеты данных, с помощью которых происходит сообщение двух объектов.

Шаги осуществления атаки

Сканирование сети. Производится с помощью такого инструмента как NMAP – используется для сканирования сети на наличие общих ресурсов и IP-адресов.

Теперь, если вам повезет, можно также использовать Проводник Windows для обнаружения сетевых ресурсов. Стоит отметить, что схема релевантна только в том случае, если хосты включили функции перечисления на основе доступа.

Использование Metasploit или аналогичного инструмента для проведения атаки. Помните, что цель этой попытки – захватить и отсмотреть достаточное количество пакетов аутентификации, чтобы обмануть сервер, заставив его поверить, что злоумышленник на самом деле является пользователем исходной системы.

Impacket. Если сервер работает под управлением NTLM версии 2.0, вам нужно будет подойти к проведению атаки иным способом, таким образом будет Impacket.

Нагрузка с помощью msfvenom. После этого мы можем использовать Metasploit, чтобы начать сеанс Meterpreter. Знайте, что вы обречены на неудачу, если целевая машина не имеет прав администратора на скомпрометированный сервер.

Готово.

Защита от атак SMB

Итак, что можно сделать, чтобы защитить ваши корпоративные активы от такого типа MITM-атаки?

Удалите первую версию SMB. Лучший способ сделать это-отказаться от SMB1 и заменить его SMB 3.0 или выше.

Microsoft SMB 3.1.1, выпущенная некоторое время назад, имеет массу новых функций, ориентированных на безопасность включая проверку целостности и шифрование AES-128.

Регулировать исходящие SMB. Брандмауэр с расширенным контролем-это лучший способ ограничить исходящее назначение SMB.

Внедрите UNC-пути с усиленной защитой. В 2015 году компания Microsoft представила UNC, который «заставляет» SMB использовать определяемую клиентом безопасность, а не полагаться на «требования сервера».

В заключении хотелось бы отметить, что SMB атаки не обладают такой же мощью, как вымогатели типа Ryuk или RobbinHood, но они могут обеспечить необходимый «бэкдор» для этих двух и других программ. Поддерживайте свои приложения и программное обеспечение в актуальном состоянии, производите их обновления, используйте современное оборудование и внедряйте современные технологии информационной безопасности.