SMBRelay и SMBRelay2 являются программами, которые несут в себе угрозу со стороны удаленных компьютеров. Программы используют уязвимость протокола обеспечения общего доступа к файлам Server Message Block, который встроен в NetBIOS. Если пользователь предоставляет общий доступ к файлам и принтерам через локальную сеть, скорее всего это осуществляется с помощью протокола SMB.
В рамках обмена данными по локальной сети происходит обмен данными хеш-таблиц паролей.
SMBRelay принимает соединения по UDP на портах 139 и 445, транслирует пакеты, которыми обменивается клиент и сервер, и подменяет их. После подключения и аутентификации соединение с клиентом прерывается. SMBRelay создает новый виртуальный IP-адрес. Новый адрес доступен с помощью следующей команды: net use \\192.168.1.1. После этого доступ к адресу открыт для любой сетевой функции Windows. SMBRelay транслирует весь обмен данными через себя, кроме процессов установления соединения и аутентификации. Удаленная атакующая сторона может использовать IP-адрес так, как будто подключен компьютер клиента.
SMBRelay2 работает на том же принципе, что и SMBRelay, но использует имена NetBIOS вместо IP-адресов. Оба приложения используют атаки методом перехвата пакетов. Метод позволяет удаленной атакующей стороне считывать, подменять и изменять содержимое сообщений между двумя сторонами, но не позволяет обнаружить себя. Атакованные таким методом компьютеры зачастую прекращают отвечать на запросы пользователя или внезапно перезагружаются.
Для того чтобы избежать проблем подобного рода, рекомендуется использовать пароли для аутентификации или ключи.
