SMB 中继：攻击、缓解、策略和有效的解决方案

这种攻击在内部网络环境中很常见，并且经常利用缺乏强制SMB 签名的情况。

这种攻击可以与LLMR 中毒以互补的方式使用。 LLMNR 中毒可用于捕获NTLM 哈希值，然后在SMB 中继中利用这些哈希值。因此，落实两线防御措施非常重要。

SMB 中继攻击的工作原理

必要条件：

● SMB 签名已禁用或不需要。

● 提升的用户或管理员必须在网络上处于活动状态。

攻击：攻击者将自己定位为中间人（中间人），使用 Responder 等工具捕获 NTLM 哈希值。这些可以通过 ntlmrelayx 等工具直接“中继”到易受攻击的 SMB 服务器，绕过身份验证。

SMB 中继攻击的核心是，攻击者拦截并传输 SMB 身份验证会话，以利用它们来获取优势。这种偷偷摸摸的方法很强大，因为它不需要破解密码哈希。安全专业人员需要了解这种攻击如何渗透系统，因此采取预防措施至关重要。

降低 SMB 中继攻击的风险需要应用特定技术，例如启用 SMB 签名和采用加密协议。这些技术极大地降低了攻击者利用截获的身份验证会话的机会。通过仔细的防御规划，组织可以有效地保护其信息系统。

要点

● SMB 中继攻击允许在没有凭据的情况下进行未经授权的访问

● 利用弱点拦截 SMB 身份验证会话

● 防御技术包括 SMB 签名和加密协议

技术基础知识

SMB 协议是 Windows 网络的基础，允许在计算机之间共享文件。 SMB 使用 NTLM 进行身份验证，这对于了解中继攻击的漏洞至关重要。

什么是 SMB 及其在网络中的作用

SMB（服务器消息块）是一种网络协议，有助于在网络内的不同计算机之间共享文件、打印机和串行端口。在 Windows 环境中，SMB 至关重要，因为它允许客户端和服务器之间进行有效的通信。

SMB工作在OSI模型中的应用层，允许用户访问文件夹和文件等共享资源。它还用于文件操作请求和进程间通信。其功能包括请求打开和读取远程设备上的文件，这使其在协作和集成工作环境中至关重要。

NTLM 和身份验证过程

NTLM（NT LAN Manager）是许多 SMB 实施中使用的身份验证协议。它使用质询和响应机制来验证用户的身份。此过程从服务器向客户端发送质询开始，客户端用计算出的哈希值响应该质询。

NTLM 协议容易受到多种类型的攻击，包括中继攻击，因为截获的哈希值可用于在不知道原始密码的情况下进行身份验证。这是一个关键点，因为它允许攻击者利用截获的凭据来不当访问网络资源，从而给企业 IT 基础设施带来重大风险。

SMB中继攻击描述

SMB 中继攻击允许攻击者利用截获的 SMB 身份验证会话。攻击者可以中继信息以获得未经授权的访问，而无需知道用户的凭据。

攻击的主要阶段

SMB 中继攻击从拦截客户端和服务器之间的通信开始。攻击者将自己置于两者之间，使客户端相信他正在与合法服务器进行通信。

第一步是捕获客户端发送的 SMB 身份验证请求。一旦获得，攻击者就会将此请求转发到目标服务器以批准它。这会导致未经授权的访问，因为服务器会由于攻击者的介入而尝试对客户端进行身份验证。

此攻击利用网络配置中的漏洞，特别是在未使用 SMB 强制签名等高级安全措施时。了解这些技术以采取预防措施至关重要。

可能的攻击媒介

SMB 中继攻击可利用多种途径。一种常见的攻击是所谓的中间人攻击，其中攻击者将自己插入到SMB网络通信之间。

另一个常见的媒介是使用网络内已知的漏洞，其中缺少使用 NTLMv2 等身份验证协议。网络凭据配置错误或管理不善也可能导致攻击。

网络管理员必须保持警惕并使用监控工具来降低 SMB 中继攻击的风险。实施有效的防御对于保护网络的完整性至关重要。

缓解和预防策略

为了降低 SMB 中继攻击的风险，必须采用安全配置技术、客户端保护和安全策略实施。每个领域在加强网络安全和最大限度地减少漏洞方面都发挥着至关重要的作用。

建议：

● 启用 SMB 签名：此措施可确保 SMB 通信的完整性，防止使用截获的哈希值。

● 禁用 LLMNR 和 NetBIOS：这些协议会导致本地网络上的 DNS 响应中毒。

● 实施最小权限原则：减少分配给最终用户的管理权限。

● 避免密码重复使用：攻击者利用多个设备上的相同哈希来扩大危害范围。

服务器配置

配置服务器以使用安全协议至关重要。启用 SMB 签名有助于防止未经授权的攻击。此过程可确保发送和接收的数据经过验证。

定期使用最新的安全补丁更新您的服务器非常重要。这些可以防止可能被攻击者利用的已知漏洞。

使用SMBv3等加密协议为您的服务器设置添加了额外的安全层。这确保了针对企图拦截和数据操纵的更强大的保护。

客户保护

客户必须拥有更新的操作系统，以防止现有漏洞被利用。这包括应用安全补丁来解决旧协议中的缺陷。

安装配置良好的防病毒软件和防火墙可以提供额外的防御攻击屏障。这些工具检测并阻止可疑的网络访问尝试。

禁用客户端上未使用的特权帐户会限制攻击者通过受损凭据获取访问权限的能力。

安全政策的实施

实施有效的安全策略对于防止 SMB 中继攻击至关重要。例如，采用 NTLMv2 可以通过降低中继攻击的风险来提高身份验证安全性。

实施强密码策略可确保用户凭据不易被泄露。

持续监控和记录网络活动有助于实时检测可疑活动。网络可见性可以更快、更有针对性地响应安全事件。

防御工具和技术

为了保护系统免受 SMB 中继攻击，必须采用先进的监控工具并实施蜜罐等欺骗策略。这些方法有助于检测和防止恶意活动，同时确保敏感数据的环境更加安全。

监控检测软件

专用监控和检测软件对于防御 SMB 中继攻击至关重要。此类工具可以持续扫描网络以识别异常行为。在先进的检测工具中，可以实时分析网络数据，从而可以在发生重大损害之前采取行动。Microsoft提出的解决方案就是一个例子，它为 SMB 流量提供防御策略。此外，启用 SMB 签名以确保身份验证消息的完整性和真实性也很重要。该软件必须能够集成快速警报，向网络管理员发出潜在攻击的警报。

使用蜜罐

蜜罐是一种用于分散和分析攻击者的巧妙技术。这些系统充当网络中的陷阱，假装包含重要信息。当攻击者与蜜罐交互时，会收集有关其技术和动机的有价值的信息。要实施有效的蜜罐来防御 SMB 中继攻击，必须正确配置其参数并主动监控它们。蜜罐允许您研究受控环境中的攻击行为，从而允许根据具体数据更新和调整防御。这些信息可用于加强现有防御并防止未来的攻击。

实际演示

我们可以将这些哈希值转发到特定的机器并可能获得访问权限，而不是解密使用 Responder 收集的哈希值。我们将使用之前文章中创建的 AD 实验室，对于这次攻击，需要：

要求：

默认情况下，必须在目标上禁用或不强制执行 SMB 签名。

提交的用户凭据必须来自计算机上的管理员才能获得访问权限，在我们的例子中：

在继续之前，我们必须正确配置响应程序，以确保我们捕获的哈希值不会被拦截而是被转发（准确地说是RELAYED）：

sudo mousepad /etc/responder/Responder.conf

现在我们使用 ntlmrelay.py 它将从 RESPONDER 接收哈希并将其定向到目标计算机，如果用户是计算机的管理员（并且“sesposito”是），则攻击将起作用。

现在网络上需要一个事件，例如请求访问不存在的文件夹：

SMB 中继攻击依赖于网络上的设备（受害者）自愿发送SMB 或 NTLM 身份验证请求。如果没有这种初始交互，攻击者就无法获取要“转发”的用户的 NTLM 哈希值。该事件可以通过多种方式引起：

由用户触发：

用户访问恶意 SMB 网络共享（例如，通过单击电子邮件中发送的“smb://attacker-ip”链接）。

用户尝试打印到恶意配置的 SMB 打印机。

被动激活：

攻击者使用Responder之类的工具来“欺骗”（错误）对 DNS 或 WPAD 网络请求的响应。受害者在寻找 SMB 或 WPAD 服务时会自动连接到恶意服务器。

某些设备自动向网络发送 SMB 请求（例如，搜索网络共享或打印机）。

为什么它有效？

该攻击利用 NTLM 协议中的弱点并结合不安全的网络配置进行攻击。以下是技术细节：

通过 NTLM 进行身份验证：

当设备尝试通过 SMB 进行身份验证时，它会向服务器发送 NTLM 哈希（质询响应）。该哈希值代表用户的凭据。

攻击者在事件期间捕获此哈希并将其转发到接受相同身份验证的另一台服务器（“目标”）。

无 SMB 签名：

仅当目标服务器上禁用或不需要SMB 签名时，SMB 中继攻击才会起作用。

SMB 签名通过验证消息未被篡改来保护 SMB 流量的完整性。如果未启用，攻击者可以转发流量，而服务器不会注意到这种操作。

有效凭证：

如果其凭据被转发的用户在目标服务器上具有管理员权限，则攻击者将获得完全访问权限。

缺乏MFA（多重身份验证）：

NTLM 本身不支持双因素身份验证。因此，如果系统不需要进一步验证，则攻击有效。

本地 SAM 哈希值已被提取。这些哈希值现在可以脱机并解密。更好的是，我们可以使用哈希传递攻击来访问机器，而无需破解密码。

注意：我们没有、也不需要危及域帐户。中继攻击的优点再次在于您永远不需要知道密码来执行攻击。所以，您需要一个好的密码策略！

上面收到的是一个反向外壳。