SMBetray：一款SMB中間人攻擊工具分享

摘要： PS：本文僅作技術分析，禁止用於其他非法用途 今天給大家介紹的是一款名叫SMBetray的工具，這是一款SMB中間人攻擊工具，該工具可以通過檔案內容交換、lnk交換和明文資料入侵來對目標客戶端實施攻擊。 SMBetray 該工具可允許攻擊者攔截和修改不安全的SMB連線...

PS：本文僅作技術分析，禁止用於其他非法用途

今天給大家介紹的是一款名叫SMBetray的工具，這是一款SMB中間人攻擊工具，該工具可以通過檔案內容交換、lnk交換和明文資料入侵來對目標客戶端實施攻擊。

SMBetray

該工具可允許攻擊者攔截和修改不安全的SMB連線，在已知證書的情況下，該工具還可以入侵某些安全的SMB連線。

背景內容

該工具釋出於Defcon 26上，相關演講主題為“SMBetray – 後門與簽名攻擊”。

在SMB連線中，需要使用安全機制來保護伺服器和客戶端之間傳輸資料的完整性，而這種安全機制就是SMB簽名和加密。首先，在簽名過程中需要從伺服器端獲取金鑰和證書，並對SMB資料包進行簽名，最後再通過網路傳送資料包。如果使用者密碼已知，那麼攻擊者就可以重新建立SessionBaseKey和所有其他的SMB金鑰，並利用它們來修改SMB資料包，然後對修改後的資料包進行重新簽名。除此之外，很多網站管理員預設會禁用簽名功能，因此這種攻擊方式的效率也會比較高。

功能介紹

1.被動下載通過有線網路傳送的任意檔案明文資料；
2.將目標客戶端降級為NTLMv2（而非Kerberos）；
3.當目標目錄被使用者訪問後，向目標目錄中注入檔案；
4.用同名的lnk檔案替換掉所有的原始檔案，並在使用者點選後執行攻擊者指定的命令或程式碼；
5.僅用同名的lnk檔案替換目標系統中的可執行檔案，並在使用者點選後執行攻擊者指定的命令或程式碼；
6.用攻擊者注入的本地目錄中的檔案內容（副檔名為“X“）替換目標系統中副檔名為“X“的檔案內容，副檔名可區分大小寫；

工具安裝

該工具要求系統可使用iptables，安裝命令如下：

sudo bash install.sh

工具使用

首先，對目標系統、閘道器或目的網路執行bi-directional arp-cache感染攻擊，比如說：

sudo arpspoof -i <iface> -c both -t <target_ip> -r <gateway_ip>

接下來，執行smbetray以及相關的攻擊模組：

sudo ./smbetray.py --passive ./StolenFilesFolder --lnkSwapAll "powershell -noP-sta -w 1 -enc AABCAD....(etc)" -I eth0

Demo

點選【 ofollow,noindex" target="_blank">這裡 】檢視該工具的使用樣例。

*參考來源： smbetray ，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM