Técnica de ataque
Escaneado SMB
El escaneado SMB es una técnica utilizada por los administradores de red para gestionar los recursos de la empresa y garantizar el acceso autorizado. También es un objetivo principal para los atacantes que buscan puntos de entrada o explotar vulnerabilidades.
Definición
¿Qué es la exploración SMB?
SMB son las siglas de Server Message Block, un protocolo para compartir archivos, impresoras y otros recursos de red. Se utiliza habitualmente en entornos Windows, donde a menudo se combina con la autenticación NTLM. Los administradores utilizan el escaneado SMB para sondear la red en busca de puertos SMB abiertos. Sin embargo, también puede ser utilizado por los atacantes para lanzar ataques de retransmisión SMB.
Cómo funciona
¿Cómo funcionan los ataques de retransmisión SMB?
Con esta técnica, los atacantes se aprovechan de la confianza integrada del protocolo SMB en los usuarios de la red. El atacante utiliza el escaneado para identificar las cuentas disponibles a las que dirigirse y, a continuación, intercepta y manipula una sesión de autenticación válida. Al capturar y retransmitir el tráfico de autenticación, el atacante se hace pasar por el usuario para obtener acceso no autorizado.
He aquí la progresión de un ataque común de retransmisión SMB:
- El atacante se posiciona como "hombre en el medio" interceptando el tráfico SMB entre un cliente y un servidor legítimo. Esto puede lograrse mediante técnicas a nivel de red como la suplantación de ARP o el envenenamiento de DNS para redirigir el tráfico SMB a través de la máquina del atacante.
- Una vez en el medio, el atacante intercepta la solicitud de autenticación SMB enviada por el cliente, que normalmente incluye credenciales con hash en lugar de contraseñas en texto plano.
- A continuación, el atacante transmite las credenciales interceptadas a otro servidor objetivo que también utiliza SMB para la autenticación, haciéndose pasar por el usuario legítimo. Dado que el proceso de autenticación NTLM (New Technology LAN Manager) no valida la fuente del mensaje de autenticación, el atacante puede saltarse este mecanismo de protección y obtener acceso al servidor.
Por qué lo utilizan los atacantes
¿Por qué utilizan los atacantes los ataques de retransmisión SMB?
Los ataques de retransmisión SMB permiten a los atacantes infiltrarse en las redes sin tener que descifrar los hashes de las contraseñas. Una vez dentro de la red, pueden utilizar el escaneo SMB para localizar otras cuentas vulnerables y progresar en el ataque u obtener un acceso más profundo.
Detección de plataformas
Cómo prevenir y detectar ataques de retransmisión SMB
Para defenderse de los ataques de retransmisión SMB, las organizaciones deben aplicar una combinación de medidas de seguridad de red y educación de los empleados. Por ejemplo, puede exigir la firma SMB para validar los intentos de autenticación y sustituir NTLM por métodos de autenticación más fuertes y seguros.
Además, es crucial supervisar la red en busca de actividad sospechosa de las PYMES.
La plataforma Vectra AI incluye potentes detecciones basadas en inteligencia artificial para detectar amenazas basadas en la red, incluidos el escaneado SMB y los ataques de retransmisión SMB. Aprovechando el aprendizaje automático y el análisis del comportamiento, Vectra AI identifica rápidamente patrones inusuales de actividad SMB para que los equipos SOC puedan detener los ataques antes de que comiencen.
