攻撃テクニック
SMBスキャン
SMBスキャンは、ネットワーク管理者が会社のリソースを管理し、許可されたアクセスを確保するために使用される手法です。また、侵入口を見つけたり、脆弱性を悪用しようとする攻撃者の格好の標的でもある。
定義
SMBスキャンとは?
SMBとはServer Message Blockの略で、ファイルやプリンタなどのネットワークリソースを共有するためのプロトコルである。Windows環境では一般的に使用され、NTLM認証と組み合わせて使用されることが多い。SMBスキャンは、管理者がSMBポートが開いていないかネットワークを調査するために使用される。しかし、攻撃者がSMBリレー攻撃を仕掛けるために使用することもあります。
仕組み
SMBリレー攻撃はどのように行われるのか?
この手法では、攻撃者はSMBプロトコルに組み込まれたネットワーク・ユーザーの信頼を利用する。攻撃者はスキャニングを使用してターゲットとなる利用可能なアカウントを特定し、有効な認証セッションを傍受して操作します。認証トラフィックをキャプチャして中継することで、攻撃者はユーザーになりすまして不正アクセスを行います。
一般的なSMBリレー攻撃の手順を紹介しよう:
- 攻撃者は、クライアントと正規サーバー間のSMBトラフィックを傍受することで、自らを「中間者」と位置づける。これは、ARPスプーフィングやDNSポイズニングといったネットワークレベルの技術によって、SMBトラフィックを攻撃者のマシンを経由するように迂回させることで実現できる。
- このリクエストには通常、平文のパスワードではなく、ハッシュ化された認証情報が含まれている。
- 攻撃者は次に、傍受した認証情報を、同じく SMB を認証に使用している別の標的サーバにリレーし、効果的に正当なユーザになりすます。NTLM(New Technology LAN Manager)認証プロセスは認証メッセージの送信元を検証しないため、攻撃者はこの保護メカニズムを回避してサーバーにアクセスすることができる。
攻撃者がそれを使う理由
攻撃者はなぜSMBリレー攻撃を使うのか?
SMBリレー攻撃は、攻撃者がパスワード・ハッシュを解読することなくネットワークに侵入することを可能にする。ネットワーク内に侵入すると、SMBスキャンを使用して他の脆弱なアカウントを見つけ、攻撃を進展させたり、より深いアクセスを得ることができる。
プラットフォーム検出
SMB リレー攻撃を防ぐ方法と検知
SMB リレー攻撃を防御するために、組織はネットワーク・セキュリティ対策と従業員教育を 組み合わせるべきである。例えば、認証の試行を検証するために SMB 署名を要求したり、NTLM をより強力で安全な認証方法に置き換えたりすることができる。
さらに、不審なSMBの動きがないか、ネットワークを監視することも重要だ。
Vectra AI Platformには、SMBスキャンやSMBリレー攻撃など、ネットワークベースの脅威を発見するための強力な検出機能(AI主導 )が搭載されています。機械学習と振る舞い 分析を活用することで、Vectra AI は SMB アクティビティの異常なパターンを迅速に特定するため、SOC チームは攻撃を開始する前に阻止することができます。
