Tecnica di attacco
Scansione SMB
La scansione SMB è una tecnica utilizzata dagli amministratori di rete per gestire le risorse aziendali e garantire l'accesso autorizzato. È anche uno degli obiettivi principali degli hacker che cercano di trovare punti di accesso o sfruttare le vulnerabilità.
Definizione
Che cos'è la scansione SMB?
SMB è l'acronimo di Server Message Block, un protocollo per la condivisione di file, stampanti e altre risorse di rete. È comunemente utilizzato negli ambienti Windows, dove spesso è abbinato all'autenticazione NTLM. La scansione SMB viene utilizzata dagli amministratori per cercare porte SMB aperte nella rete. Tuttavia, può anche essere utilizzata dagli aggressori per lanciare attacchi SMB relay.
Come funziona
Come funzionano gli attacchi SMB relay?
Con questa tecnica, gli aggressori sfruttano la fiducia integrata nel protocollo SMB nei confronti degli utenti della rete. L'aggressore utilizza la scansione per identificare gli account disponibili da prendere di mira, quindi intercetta e manipola una sessione di autenticazione valida. Catturando e inoltrando il traffico di autenticazione, l'aggressore si finge l'utente per ottenere un accesso non autorizzato.
Ecco una tipica sequenza di attacchi SMB relay:
- L'autore dell'attacco si posiziona come "man-in-the-middle" intercettando il traffico SMB tra un client e un server legittimo. Ciò può essere ottenuto tramite tecniche a livello di rete quali lo spoofing ARP o il DNS poisoning per reindirizzare il traffico SMB attraverso il computer dell'autore dell'attacco.
- Una volta arrivato al centro, l'aggressore intercetta la richiesta di autenticazione SMB inviata dal client, che in genere include credenziali con hash anziché password in chiaro.
- L'autore dell'attacco inoltra quindi le credenziali intercettate a un altro server di destinazione che utilizza anch'esso SMB per l'autenticazione, impersonando efficacemente l'utente legittimo. Poiché il processo di autenticazione NTLM (New Technology LAN Manager) non convalida l'origine del messaggio di autenticazione, l'autore dell'attacco può aggirare questo meccanismo di protezione e ottenere l'accesso al server.
Perché gli aggressori lo utilizzano
Perché gli hacker utilizzano gli attacchi SMB relay?
Gli attacchi SMB relay consentono agli hacker di infiltrarsi nelle reti senza dover decifrare gli hash delle password. Una volta all'interno della rete, possono utilizzare la scansione SMB per individuare altri account vulnerabili e proseguire l'attacco o ottenere un accesso più approfondito.
Rilevamenti della piattaforma
Come prevenire e rilevare gli attacchi relay SMB
Per difendersi dagli attacchi SMB relay, le organizzazioni dovrebbero implementare una combinazione di misure di sicurezza della rete e formazione dei dipendenti. Ad esempio, è possibile richiedere la firma SMB per convalidare i tentativi di autenticazione e sostituire NTLM con metodi di autenticazione più forti e sicuri.
Inoltre, è fondamentale monitorare la rete per individuare eventuali attività SMB sospette.
Vectra AI include potenti funzionalità di rilevamento basate sull'intelligenza artificiale per individuare le minacce basate sulla rete, tra cui la scansione SMB e gli attacchi SMB relay. Sfruttando l'apprendimento automatico e l'analisi comportamentale, Vectra AI identifica Vectra AI modelli insoliti di attività SMB, consentendo ai team SOC di bloccare gli attacchi prima che abbiano inizio.
