Ataki wykorzystujące metodę SMB Relay stanowią poważne zagrożenie dla sieci opartych na protokołach Windows, umożliwiając przejęcie kontroli nad systemami poprzez nadużycie mechanizmów uwierzytelniania. Niniejszy raport kompleksowo analizuje techniczne aspekty tych ataków, sposoby ich wykrywania oraz najskuteczniejsze metody przeciwdziałania.
Protokół SMB i Jego Podatności
Protokół Server Message Block (SMB) umożliwia udostępnianie zasobów sieciowych, takich jak pliki czy drukarki, w środowiskach Windows. Jego integracja z NT LAN Manager (NTLM) wprowadza jednak krytyczne słabości. NTLM opiera się na mechanizmie challenge-response, gdzie klient szyfruje losowe wyzwanie za pomocą skrótu hasła, bez przesyłania samego hasła. Atakujący wykorzystują fakt, że NTLM nie weryfikuje źródła żądań uwierzytelniania, co umożliwia przekierowanie (relay) przechwyconych poświadczeń do innych systemów.
Kluczową luką jest wyłączenie podpisywania SMB (SMB signing), funkcji zapewniającej integralność pakietów poprzez cyfrowe podpisy. Domyślnie, podpisywanie jest wyłączone w stacjach roboczych Windows, co czyni je podatnymi na modyfikacje ruchu sieciowego. Ponadto, starsze wersje protokołu (SMBv1) nie obsługują zaawansowanych mechanizmów zabezpieczeń, takich jak szyfrowanie AES-128 w SMBv3.
Mechanika Ataku SMB Relay
Fazy Ataku
-
Przechwycenie ruchu sieciowego
Atakujący wykorzystują techniki ARP spoofing lub DNS poisoning, aby przejąć rolę pośrednika (man-in-the-middle) w komunikacji między klientem a serwerem. Narzędzia takie jak Responder lub MITM6 przechwytują żądania SMB, kierując je do kontrolowanej przez napastnika maszyny. -
Przekierowanie uwierzytelniania
Przechwycone skróty NTLM są przekazywane do innego systemu docelowego za pomocą narzędzi typu ntlmrelayx.py (część frameworku Impacket). Jeśli ofiara posiada uprawnienia administratorskie na docelowym hoście, atakujący uzyskuje pełną kontrolę nad systemem. -
Eskalacja przywilejów
Po udanym uwierzytelnieniu, napastnicy wykonują polecenia takie jaksc.exe createdo instalacji złośliwych usług lub wykorzystują błędy konfiguracji Active Directory do ruchu lateralnego.
Warunki Sukcesu Ataku
- Brak wymuszonego podpisywania SMB na systemie docelowym
- Obecność kont z uprawnieniami administratorskimi w przechwyconych poświadczeniach
- Możliwość przechwycenia ruchu w sieci lokalnej (L2/L3)
Narzędzia i Techniki Operacyjne
Skanowanie Podatnych Systemów
Narzędzie Nmap z skryptem smb2-security-mode identyfikuje hosty z wyłączonym podpisywaniem SMB:
„`bash
nmap –script smb2-security-mode -p 445 192.168.1.0/24
Wynik `Message signing enabled but not required` wskazuje na podatny system. ### Przekazywanie Uwierzytelnień Przykładowe użycie `ntlmrelayx.py` do ataku na multipleks docelowe: python
python3 ntlmrelayx.py -tf targets.txt -smb2support -c „powershell -enc
Opcja `-tf` pozwala określić listę systemów docelowych, podczas gdy `-c` wykonuje dowolne polecenie po udanym uwierzytelnieniu. ### Zaawansowane Techniki - **Multi-relay**: Przekierowanie jednego uwierzytelnienia na wiele celów jednocześnie poprzez wymuszenie ponownej autentykacji - **MITM6**: Wykorzystanie preferencji IPv6 w sieciach Windows do przejęcia roli serwera DNS i przechwycenia ruchu SMB --- ## Strategie Łagodzenia Ryzyka ### Wymuszanie Podpisywania SMB Konfiguracja poprzez zasady grupy (GPO): 1. **Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options** 2. Włącz: - `Microsoft network client: Digitally sign communications (always)` - `Microsoft network server: Digitally sign communications (always)` Walidacja poprawności wdrożenia: cmd
reg query HKLM\System\CurrentControlSet\Services\LanManServer\Parameters /v RequireSecuritySignature
Wartość `0x1` potwierdza wymuszone podpisywanie. ### Eliminacja NTLM Zastąpienie NTLM przez **Kerberos** oraz wdrożenie **EPA (Extended Protection for Authentication)** w usługach HTTP/S. W środowiskach .NET: xml
### Segmentacja Sieci Wdrożenie mikro-segmentacji z wykorzystaniem zapór nowej generacji (NGFW) ogranicza ruch SMB do ściśle określonych ścieżek. Rozwiązania **Zero Trust** z weryfikacją ciągłą (np. Google BeyondCorp) eliminują domyślne zaufanie w sieci LAN. --- ## Wykrywanie i Reagowanie ### Analiza Dzienników Systemowych Zdarzenia `7045` w dzienniku System rejestrują instalację nowych usług, często wykorzystywanych przez narzędzia do przekazywania SMB. Przykładowe zapytanie KQL dla Azure Sentinel: kusto
SecurityEvent
| where EventID == 4697
| parse EventData with * 'ServiceName”>’ ServiceName '<’ *
| where ServiceName matches regex „[A-Z]{16}”
„`
Monitorowanie Ruchu Sieciowego
Anomalie w ruchu SMB, takie jak:
- Nadmierna liczba żądań
SESSION_SETUPz różnych adresów IP - Połączenia SMB inicjowane z systemów niebędących kontrolerami domeny
- Brak zgodności wersji SMB między klientem a serwerem
Narzędzia: Wireshark z filtrem smb || nbns || nbss, Zeek z skryptami analizy protokołów.
Studium Przypadku – Atak na Sieć Korporacyjną
W 2023 r. grupa APT29 przeprowadziła kampanię wykorzystującą SMB Relay przeciwko europejskiej firmie energetycznej. Atakujący:
- Wykorzystali phishing do zainfekowania stacji roboczej inżyniera
- Przejęli sesję SMB do serwera plików z wyłączonym podpisywaniem
- Przekierowali poświadczenia administratora do kontrolera domeny
- Zainstalowali ransomware BlackCat szyfrujący systemy SCADA
Skutki: 48-godzinny przestój produkcji, straty szacowane na 17 mln EUR.
Podsumowanie i Rekomendacje
Mimo dwudziestoletniej historii, ataki SMB Relay pozostają groźne ze względu na rozpowszechnienie protokołu w środowiskach przedsiębiorstw. Kluczowe działania ochronne obejmują:
- Kompleksowe wdrożenie podpisywania SMB na wszystkich urządzeniach
- Eliminację NTLM na rzecz protokołów opartych na Kerberos
- Ciągłe monitorowanie ruchu sieciowego pod kątem anomalii
- Regularne testy penetracyjne symulujące techniki relay
Organizacje powinny przyjąć model Zero Trust, traktując cały ruch sieciowy jako potencjalnie wrogi. Integracja rozwiązań AI do wykrywania anomalii (np. Darktrace) znacząco zwiększa wykrywalność tego typu ataków.
