بررسی کامل حملات پروتکل SMB و راهکارهای مقابله با آنها
پروتکل SMB (Server Message Block) یک پروتکل شبکهای است که به کاربران اجازه میدهد فایلها، چاپگرها، و منابع دیگر را در شبکه به اشتراک بگذارند. این پروتکل که معمولاً در سیستمعاملهای ویندوز استفاده میشود، در نسخههای مختلف و با قابلیتهای متفاوت عرضه شده است. SMB در نسخههای اولیه خود (SMB1) بسیار آسیبپذیر بود، اما با توسعه نسخههای جدیدتر (SMB2 و SMB3) ویژگیهای امنیتی بهتری به آن افزوده شد.
تاریخچه و نسخههای مختلف پروتکل SMB
پروتکل SMB اولین بار توسط IBM در دهه ۱۹۸۰ معرفی شد و سپس مایکروسافت این پروتکل را بهینهسازی و در سیستمعامل ویندوز پیادهسازی کرد. از آن زمان به بعد، این پروتکل یکی از اصلیترین روشهای به اشتراکگذاری منابع در شبکههای ویندوزی شد.
نسخههای SMB
- SMB1: نسخه اولیه SMB که در سیستمعاملهای ویندوز قدیمی استفاده میشد و دارای نقصهای امنیتی فراوانی بود. به دلیل همین آسیبپذیریها، SMB1 به عنوان یکی از پروتکلهای ناامن شناخته میشود.
- SMB2: در ویندوز ویستا و ویندوز سرور ۲۰۰۸ معرفی شد و بهبودهایی از جمله کاهش تعداد دستورات و عملکرد بهتری نسبت به SMB1 داشت.
- SMB3: این نسخه از SMB، که با نام SMB3.0 نیز شناخته میشود، در ویندوز ۸ و ویندوز سرور ۲۰۱۲ معرفی شد و شامل ویژگیهای امنیتی پیشرفتهای مانند رمزنگاری اطلاعات و محافظت در برابر حملات MITM بود.
عملکرد پروتکل SMB
پروتکل SMB به کاربران اجازه میدهد تا منابعی مانند فایلها و چاپگرها را به صورت یکپارچه در یک شبکه محلی به اشتراک بگذارند. این پروتکل از مدل سرور-کلاینت پیروی میکند، به این صورت که دستگاه کلاینت درخواست دسترسی به منابع سرور را میفرستد و سرور بر اساس سطح دسترسیها این درخواست را پاسخ میدهد.
پروتکل SMB به صورت پیشفرض بر روی پورت TCP 445 کار میکند. در گذشته، این پروتکل از پروتکلهای NetBIOS و پورتهای UDP 137، UDP 138 و TCP 139 برای برقراری ارتباط استفاده میکرد، اما با توسعه SMB2 و SMB3، پورت ۴۴۵ به عنوان پورت استاندارد این پروتکل تعریف شد.
انواع حملات مرتبط با پروتکل SMB
با توجه به استفاده گسترده SMB در شبکههای ویندوزی، این پروتکل همواره هدف حملات متعددی قرار گرفته است. در ادامه به بررسی مهمترین حملات مرتبط با این پروتکل میپردازیم:
- حمله EternalBlue و WannaCry
- EternalBlue: این آسیبپذیری در SMB1 وجود دارد و توسط آژانس امنیت ملی آمریکا (NSA) کشف شده بود، اما پس از افشای این آسیبپذیری، به سرعت توسط مهاجمان مورد سوءاستفاده قرار گرفت. حمله EternalBlue اجازه میدهد که مهاجمان به صورت از راه دور کد مخرب خود را روی سیستمهای آسیبپذیر اجرا کنند. این آسیبپذیری یکی از اصلیترین دلایل انتشار گسترده باجافزار WannaCry بود که میلیونها دستگاه را آلوده کرد.
- WannaCry: باجافزاری که از آسیبپذیری EternalBlue برای نفوذ به سیستمها استفاده میکرد. این باجافزار به طور گستردهای سیستمهای سازمانی و اداری را در سراسر جهان آلوده کرد و با رمزنگاری فایلها، درخواست پرداخت بیتکوین میکرد.
- حملات Brute Force
- در این نوع حملات، مهاجمان با استفاده از نرمافزارهای مخصوص سعی میکنند رمز عبور حسابهای کاربری که به منابع SMB دسترسی دارند را کشف کنند. این حملات معمولاً با استفاده از الگوریتمهای خودکار و ترکیبات مختلف رمز عبور انجام میشود و در صورت موفقیت، مهاجم میتواند به منابع به اشتراکگذاشته شده دسترسی پیدا کند.
- حملات Man-in-the-Middle (MITM)
- در حملات MITM، مهاجم در بین ارتباط کاربر و سرور قرار میگیرد و میتواند اطلاعات ارسالی را شنود کرده و حتی آنها را تغییر دهد. با استفاده از این حمله، مهاجم میتواند به نام کاربری و رمز عبور یا اطلاعات حساس دسترسی پیدا کرده و سپس از آنها سوءاستفاده کند.
- حمله NTLM Relay
- NTLM یک پروتکل احراز هویت است که به طور پیشفرض در برخی از سیستمهای ویندوز فعال است. در حملات NTLM Relay، مهاجمان از این پروتکل برای انجام احراز هویتهای تقلبی استفاده میکنند. در این حالت، مهاجم میتواند از یک سیستم دیگر در شبکه درخواست احراز هویت کند و سپس از این اعتبارنامهها برای دسترسی به منابع شبکهای استفاده کند که از SMB پشتیبانی میکنند.
- حمله SMB Relay
- SMB Relay یک نوع خاص از حمله MITM است که در آن مهاجم از درخواست SMB یک کلاینت استفاده میکند و آن را به یک سرور دیگر منتقل میکند. در این حمله، مهاجم به احراز هویت نیازی ندارد و با استفاده از اعتبارنامههای دزدیده شده به منابع شبکه دسترسی پیدا میکند.
روشهای مقابله با حملات SMB
با توجه به آسیبپذیریهای شناختهشده در پروتکل SMB، بهکارگیری روشهای امنیتی برای کاهش خطرات بسیار ضروری است. برخی از روشهای مهم برای محافظت در برابر حملات SMB عبارتند از:
- غیرفعال کردن SMB1 نسخه SMB1 به دلیل آسیبپذیریهای فراوان آن توصیه نمیشود. برای جلوگیری از حملات مانند EternalBlue، غیرفعال کردن این نسخه در تنظیمات سیستم ویندوز پیشنهاد میشود.
- پیکربندی فایروال و مسدود کردن پورت ۴۴۵ تنظیم فایروال برای مسدود کردن پورت TCP 445 در شبکههای خارجی میتواند از دسترسی مهاجمان به پروتکل SMB جلوگیری کند. بهعلاوه، پیکربندی فایروال برای مسدود کردن دسترسی به SMB از شبکههای غیرمطمئن پیشنهاد میشود.
- بهروزرسانی سیستم عامل و نصب پچهای امنیتی مایکروسافت بهطور مرتب بهروزرسانیهای امنیتی برای سیستمعامل ویندوز منتشر میکند که شامل رفع آسیبپذیریهای پروتکل SMB نیز میباشد. نصب این بهروزرسانیها و پچهای امنیتی میتواند از نفوذ مهاجمان جلوگیری کند.
- استفاده از احراز هویت چندعاملی (MFA) فعالسازی احراز هویت چندعاملی (MFA) برای کاربران میتواند یک لایه امنیتی اضافی ایجاد کند و از دسترسی غیرمجاز جلوگیری کند.
- تنظیم سطح دسترسی به منابع شبکه محدود کردن سطح دسترسی به منابع به اشتراکگذاشتهشده و استفاده از ACL (لیست کنترل دسترسی) میتواند کمک کند که فقط کاربران مجاز بتوانند به این منابع دسترسی داشته باشند.
- رمزنگاری ترافیک SMB با استفاده از SMB3 نسخه SMB3 قابلیت رمزنگاری ترافیک را فراهم میکند که میتواند از حملات MITM جلوگیری کند. فعالسازی این قابلیت در شبکههای حساس و پرخطر توصیه میشود.
نتیجهگیری
پروتکل SMB به دلیل نقش حیاتی آن در به اشتراکگذاری منابع در شبکههای ویندوزی، هدف جذابی برای مهاجمان است. با شناخت انواع حملات مرتبط با SMB و اتخاذ اقدامات امنیتی مناسب، میتوان سطح امنیت شبکه را افزایش داد و از نفوذ و سوءاستفادههای احتمالی جلوگیری کرد.
مطالب زیر را حتما بخوانید
-
هرآنچه باید درباره باجافزار WannaCry بدانید: یکی از بزرگترین تهدیدات سایبری تاریخ
34 بازدید
-
سیاست Least Privilege: کلید طلایی برای حفاظت از دادهها و کاهش ریسکهای امنیتی
43 بازدید
-
Obfuscation چیست و چه کاربردهایی دارد؟ بررسی تکنیکهای پنهانسازی در امنیت سایبری
42 بازدید
-
آشنایی کامل با مجموعه ابزارهای Sysinternals: راهنمای جامع مدیریت و عیبیابی سیستمهای ویندوزی
105 بازدید
-
معرفی کامل KeePass: نرمافزار مدیریت رمز عبور ایمن و رایگان
97 بازدید
-
آشنایی کامل با سایت VirusTotal: ابزار تحلیل بدافزار و افزایش امنیت سایبری
110 بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.