Technique d'attaque
Analyse des PME
L'analyse SMB est une technique utilisée par les administrateurs de réseau pour gérer les ressources de l'entreprise et garantir un accès autorisé. C'est également une cible de choix pour les attaquants qui cherchent à trouver des points d'entrée ou à exploiter des vulnérabilités.
Définition
Qu'est-ce que l'analyse SMB ?
SMB est l'acronyme de Server Message Block, un protocole de partage de fichiers, d'imprimantes et d'autres ressources réseau. Il est couramment utilisé dans les environnements Windows, où il est souvent associé à l'authentification NTLM. L'analyse SMB est utilisée par les administrateurs pour sonder le réseau à la recherche de ports SMB ouverts. Cependant, il peut également être utilisé par des attaquants pour lancer des attaques par relais SMB.
Comment cela fonctionne-t-il ?
Comment fonctionnent les attaques par relais SMB ?
Avec cette technique, les attaquants tirent parti de la confiance que le protocole SMB accorde aux utilisateurs du réseau. L'attaquant utilise le balayage pour identifier les comptes disponibles à cibler, puis intercepte et manipule une session d'authentification valide. En capturant et en relayant le trafic d'authentification, le pirate se fait passer pour l'utilisateur afin d'obtenir un accès non autorisé.
Voici la progression d'une attaque par relais SMB :
- L'attaquant se positionne comme un "homme du milieu" en interceptant le trafic SMB entre un client et un serveur légitime. Pour ce faire, il peut utiliser des techniques de réseau telles que l'usurpation d'adresse ARP ou l'empoisonnement DNS afin de réacheminer le trafic SMB via la machine de l'attaquant.
- Une fois au milieu, l'attaquant intercepte la demande d'authentification SMB envoyée par le client, qui comprend généralement des informations d'identification hachées plutôt que des mots de passe en clair.
- L'attaquant transmet ensuite les informations d'identification interceptées à un autre serveur cible qui utilise également SMB pour l'authentification, usurpant ainsi l'identité de l'utilisateur légitime. Comme le processus d'authentification NTLM (New Technology LAN Manager) ne valide pas la source du message d'authentification, le pirate peut contourner ce mécanisme de protection et accéder au serveur.
Pourquoi les attaquants l'utilisent-ils ?
Pourquoi les attaquants utilisent-ils des attaques par relais SMB ?
Les attaques par relais SMB permettent aux attaquants d'infiltrer les réseaux sans avoir à déchiffrer les hachages de mots de passe. Une fois à l'intérieur du réseau, ils peuvent utiliser l'analyse SMB pour localiser d'autres comptes vulnérables et soit faire progresser l'attaque, soit obtenir un accès plus approfondi.
Détections de plates-formes
Comment prévenir et détecter les attaques par relais SMB
Pour se défendre contre les attaques par relais SMB, les entreprises doivent mettre en œuvre une combinaison de mesures de sécurité du réseau et de formation des employés. Par exemple, vous pouvez exiger que la signature SMB valide les tentatives d'authentification et remplacer NTLM par des méthodes d'authentification plus fortes et plus sûres.
En outre, il est essentiel de surveiller le réseau pour détecter toute activité suspecte des PME.
La plateforme Vectra AI comprend de puissantes détections basées sur l'IA pour trouver les menaces basées sur le réseau, y compris les attaques par balayage et relais SMB. En s'appuyant sur l'apprentissage automatique et l'analyse comportementale, Vectra AI identifie rapidement les modèles inhabituels d'activité des PME afin que les équipes SOC puissent arrêter les attaques avant qu'elles ne commencent.
