Rilevamento e risposta alle minacce di rete basati sull'intelligenza artificiale: approfondimenti da un leader del Magic Quadrant™ 2026 di Gartner®
Leggi il blog
Vectra AI、2026年ガートナーのNDRのマジック・クアドラントにおいてリーダーの1社に
レポートを読む
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Tecnica di attacco

Scansione SMB

La scansione SMB è una tecnica utilizzata dagli amministratori di rete per gestire le risorse aziendali e garantire l'accesso autorizzato. È anche uno dei principali obiettivi degli hacker alla ricerca di punti di accesso o di vulnerabilità da sfruttare.

Definizione
Come funziona
Perché gli hacker lo utilizzano
Rilevamento
Domande frequenti
Definizione

Che cos'è la scansione SMB?

SMB è l'acronimo di Server Message Block, un protocollo utilizzato per la condivisione di file, stampanti e altre risorse di rete. È comunemente utilizzato negli ambienti Windows, dove viene spesso abbinato all'autenticazione NTLM. La scansione SMB viene utilizzata dagli amministratori per individuare le porte SMB aperte sulla rete. Tuttavia, può essere impiegata anche dagli hacker per sferrare attacchi di tipo SMB relay. 

Come funziona

Come funzionano gli attacchi SMB relay?

Con questa tecnica, gli hacker sfruttano la fiducia intrinseca del protocollo SMB nei confronti degli utenti della rete. L'hacker utilizza una scansione per individuare gli account disponibili da prendere di mira, quindi intercetta e manipola una sessione di autenticazione valida. Catturando e inoltrando il traffico di autenticazione, l'hacker si spaccia per l'utente per ottenere un accesso non autorizzato. 

Ecco come si svolge tipicamente un attacco di tipo "relay" ai danni delle PMI:

  1. L'autore dell'attacco si posiziona come "man-in-the-middle" intercettando il traffico SMB tra un client e un server legittimo. Ciò può essere ottenuto tramite tecniche a livello di rete, quali lo spoofing ARP o il DNS poisoning, per reindirizzare il traffico SMB attraverso il computer dell'autore dell'attacco.
  2. Una volta in posizione intermedia, l'autore dell'attacco intercetta la richiesta di autenticazione SMB inviata dal client, che in genere contiene credenziali sottoposte a hash anziché password in chiaro.
  3. L'autore dell'attacco inoltra quindi le credenziali intercettate a un altro server di destinazione che utilizza anch'esso il protocollo SMB per l'autenticazione, riuscendo così a spacciarsi per l'utente legittimo. Poiché il processo di autenticazione NTLM (New Technology LAN Manager) non verifica la provenienza del messaggio di autenticazione, l'autore dell'attacco può aggirare questo meccanismo di protezione e ottenere l'accesso al server.
Processo di attacco tramite relè SMB
Perché gli hacker lo utilizzano

Perché gli hacker ricorrono agli attacchi di relay SMB?

Gli attacchi SMB di tipo relay consentono agli hacker di infiltrarsi nelle reti senza dover violare gli hash delle password. Una volta all'interno della rete, possono utilizzare la scansione SMB per individuare altri account vulnerabili e proseguire l'attacco o ottenere un accesso più approfondito.

Rilevamenti della piattaforma

Come prevenire e individuare gli attacchi di tipo relay SMB

Per difendersi dagli attacchi di tipo relay SMB, le organizzazioni dovrebbero adottare una combinazione di misure di sicurezza di rete e di formazione del personale. Ad esempio, è possibile richiedere la firma SMB per convalidare i tentativi di autenticazione e sostituire NTLM con metodi di autenticazione più robusti e sicuri.

Inoltre, è fondamentale monitorare la rete per individuare eventuali attività SMB sospette. 

Vectra AI integra potenti funzionalità di rilevamento basate sull'intelligenza artificiale per individuare le minacce di rete, tra cui la scansione SMB e gli attacchi di tipo SMB relay. Grazie all'apprendimento automatico e all'analisi comportamentale, Vectra AI identifica Vectra AI modelli anomali di attività SMB, consentendo ai team SOC di bloccare gli attacchi prima ancora che abbiano inizio.

Rilevamento
Analisi degli account delle PMI
Per saperne di più
Esplora tutti i rilevamenti

Proteggi la tua rete con sistemi di rilevamento avanzati

La scansione degli account delle PMI è una delle decine di funzionalità di rilevamento avanzate basate sull'intelligenza artificiale disponibili nella Vectra AI , che copre il 90% delle MITRE ATT&CK rilevanti.

Esplora la piattaforma
Per saperne di più

Domande frequenti