Technik des Angriffs
SMB-Scannen
SMB-Scanning ist eine Technik, die von Netzwerkadministratoren eingesetzt wird, um Unternehmensressourcen zu verwalten und den autorisierten Zugriff sicherzustellen. Es ist auch ein Hauptziel für Angreifer, die versuchen, Zugangspunkte zu finden oder Schwachstellen auszunutzen.
Definition
Was ist ein SMB-Scan?
SMB steht für Server Message Block, ein Protokoll für die gemeinsame Nutzung von Dateien, Druckern und anderen Netzwerkressourcen. Es wird häufig in Windows-Umgebungen verwendet, wo es oft mit der NTLM-Authentifizierung gekoppelt ist. SMB-Scans werden von Administratoren verwendet, um das Netzwerk auf offene SMB-Ports zu prüfen. Es kann jedoch auch von Angreifern verwendet werden, um SMB-Relay-Angriffe zu starten.
Wie es funktioniert
Wie funktionieren SMB-Relay-Angriffe?
Bei dieser Technik nutzen Angreifer das im SMB-Protokoll enthaltene Vertrauen in Netzwerkbenutzer aus. Der Angreifer verwendet Scans, um verfügbare Konten zu identifizieren, und fängt dann eine gültige Authentifizierungssitzung ab und manipuliert sie. Indem er den Authentifizierungsverkehr abfängt und weiterleitet, gibt sich der Angreifer als Benutzer aus, um unbefugten Zugriff zu erhalten.
Hier ist ein üblicher SMB-Relay-Angriffsverlauf:
- Der Angreifer positioniert sich als "Man-in-the-Middle", indem er den SMB-Datenverkehr zwischen einem Client und einem legitimen Server abfängt. Dies kann durch Techniken auf Netzwerkebene wie ARP-Spoofing oder DNS-Poisoning erreicht werden, um den SMB-Datenverkehr über den Rechner des Angreifers umzuleiten.
- Der Angreifer fängt die vom Client gesendete SMB-Authentifizierungsanfrage ab, die in der Regel gehashte Anmeldedaten und keine Klartextkennwörter enthält.
- Der Angreifer leitet dann die abgefangenen Anmeldeinformationen an einen anderen Zielserver weiter, der ebenfalls SMB zur Authentifizierung verwendet, und gibt sich so als der rechtmäßige Benutzer aus. Da der NTLM-Authentifizierungsprozess (New Technology LAN Manager) die Quelle der Authentifizierungsnachricht nicht überprüft, kann der Angreifer diesen Schutzmechanismus umgehen und Zugriff auf den Server erhalten.
Warum Angreifer sie benutzen
Warum verwenden Angreifer SMB-Relay-Angriffe?
SMB-Relay-Angriffe ermöglichen es Angreifern, Netzwerke zu infiltrieren, ohne Passwort-Hashes knacken zu müssen. Sobald sie in das Netzwerk eingedrungen sind, können sie mithilfe von SMB-Scans andere anfällige Konten ausfindig machen und entweder den Angriff fortsetzen oder tieferen Zugriff erlangen.
Plattform-Detektionen
Wie man SMB-Relay-Angriffe verhindert und erkennt
Um sich gegen SMB-Relay-Angriffe zu schützen, sollten Unternehmen eine Kombination aus Netzwerksicherheitsmaßnahmen und Mitarbeiterschulungen durchführen. Sie können zum Beispiel die SMB-Signierung zur Validierung von Authentifizierungsversuchen verlangen und NTLM durch stärkere, sicherere Authentifizierungsmethoden ersetzen.
Darüber hinaus ist es wichtig, das Netzwerk auf verdächtige SMB-Aktivitäten zu überwachen.
Die Vectra AI Plattform enthält leistungsstarke KI-gesteuerte Erkennungsfunktionen, um netzwerkbasierte Bedrohungen zu finden, einschließlich SMB-Scans und SMB-Relay-Angriffe. Durch den Einsatz von maschinellem Lernen und Verhaltensanalysen identifiziert Vectra AI schnell ungewöhnliche Muster von SMB-Aktivitäten, sodass SOC-Teams Angriffe stoppen können, bevor sie beginnen.
