Tecnica di attacco
Scansione SMB
La scansione SMB è una tecnica utilizzata dagli amministratori di rete per gestire le risorse aziendali e garantire l'accesso autorizzato. È anche un obiettivo primario per gli aggressori che cercano di trovare punti di ingresso o di sfruttare le vulnerabilità.
Definizione
Che cos'è la scansione SMB?
SMB è l'acronimo di Server Message Block, un protocollo per la condivisione di file, stampanti e altre risorse di rete. È comunemente usato in ambienti Windows, dove è spesso abbinato all'autenticazione NTLM. La scansione SMB viene utilizzata dagli amministratori per sondare la rete alla ricerca di porte SMB aperte. Tuttavia, può anche essere utilizzata dagli aggressori per lanciare attacchi SMB relay.
Come funziona
Come funzionano gli attacchi SMB relay?
Con questa tecnica, gli aggressori sfruttano la fiducia incorporata del protocollo SMB negli utenti della rete. L'aggressore utilizza la scansione per identificare gli account disponibili da colpire, quindi intercetta e manipola una sessione di autenticazione valida. Catturando e ritrasmettendo il traffico di autenticazione, l'aggressore impersona l'utente per ottenere un accesso non autorizzato.
Ecco la progressione di un attacco SMB relay comune:
- L'attaccante si posiziona come "man-in-the-middle" intercettando il traffico SMB tra un client e un server legittimo. Questo può essere ottenuto con tecniche a livello di rete come l'ARP spoofing o il DNS poisoning per reindirizzare il traffico SMB attraverso il computer dell'attaccante.
- Una volta nel mezzo, l'aggressore intercetta la richiesta di autenticazione SMB inviata dal client, che in genere include credenziali con hash piuttosto che password in chiaro.
- L'aggressore trasmette quindi le credenziali intercettate a un altro server di destinazione che utilizza SMB per l'autenticazione, impersonando di fatto l'utente legittimo. Poiché il processo di autenticazione NTLM (New Technology LAN Manager) non convalida l'origine del messaggio di autenticazione, l'aggressore può aggirare questo meccanismo di protezione e ottenere l'accesso al server.
Perché gli aggressori lo usano
Perché gli aggressori utilizzano gli attacchi SMB relay?
Gli attacchi SMB relay consentono agli aggressori di infiltrarsi nelle reti senza dover decifrare gli hash delle password. Una volta entrati nella rete, possono utilizzare la scansione SMB per individuare altri account vulnerabili e far progredire l'attacco o ottenere un accesso più approfondito.
Rilevamenti della piattaforma
Come prevenire e rilevare gli attacchi SMB relay
Per difendersi dagli attacchi SMB relay, le organizzazioni devono implementare una combinazione di misure di sicurezza di rete e di formazione dei dipendenti. Ad esempio, è possibile richiedere la firma SMB per convalidare i tentativi di autenticazione e sostituire NTLM con metodi di autenticazione più forti e sicuri.
Inoltre, è fondamentale monitorare la rete per individuare attività SMB sospette.
La piattaforma Vectra AI include potenti rilevamenti basati sull'intelligenza artificiale per individuare le minacce basate sulla rete, tra cui la scansione SMB e gli attacchi SMB relay. Sfruttando l'apprendimento automatico e l'analisi comportamentale, Vectra AI identifica rapidamente modelli insoliti di attività SMB in modo che i team SOC possano bloccare gli attacchi prima che inizino.
