SMB 攻击(Server Message Block Attack)是什么？

SMB 攻击(Server Message Block Attack)是什么？

一句话概括

SMB 攻击(Server Message Block Attack) 是指针对服务器消息块 协议的一系列网络攻击。SMB 是一种主要用于在计算机网络中提供共享访问文件、打印机等资源的网络协议。攻击者利用该协议本身的设计缺陷或实现中的漏洞，来达到未授权访问、窃取数据、瘫痪服务甚至控制整个系统的目的。

在深入理解攻击之前，先要了解 SMB 是什么。

{0}. 功能：SMB 是一种应用层网络协议，它让同一网络上的计算机能够像访问本地资源一样访问其他计算机的共享文件、打印机、串行端口等。

{0}. 常见环境：它最广泛地应用于 Windows 系统 组成的局域网中，是“网上邻居”或“网络”功能的核心。
{0}. 现代版本：最新版本是 SMB 3.1.1（随 Windows 10/Server 2016 引入），它包含了强大的加密和完整性检查等安全功能。
{0}. 旧版本问题：旧版本的 SMB（如 SMBv1）在设计上存在严重的安全缺陷，是许多著名攻击的主要目标。

2. 常见的 SMB 攻击类型

SMB 攻击主要有以下几种形式：

1. 利用 SMB 协议漏洞

这是最危险的一类攻击，攻击者利用 SMB 协议实现中的编程错误（漏洞）来执行恶意代码。

—永恒之蓝：这是最著名的 SMB 攻击例子。
{0}. 漏洞：利用的是 SMBv1 协议中的一个远程代码执行漏洞（MS17-010）。

{0}. 攻击方式：攻击者向目标计算机发送一个精心构造的数据包，该数据包可以绕过系统安全机制，直接在目标系统上执行任意代码。
{0}. 影响：2017 年的 WannaCry 勒索病毒和 NotPetya 恶意软件就是利用这个漏洞在全球范围内大规模传播，造成了巨大损失。

—其他历史漏洞：除了永恒之蓝，历史上还存在多个 SMB 漏洞，如 MS08-067（Conficker 蠕虫利用过）等。

2. SMB 中继攻击

这种攻击不直接破解密码，而是“转发”认证会话。

• 原理：
  1. 攻击者位于内网中，并诱使一台计算机（A）向攻击者的机器发起 SMB 连接。
  2. 攻击者截获 A 的认证信息（NTLMv2 Hash），但并不破解它，而是将其“中继”到网络中的另一台目标服务器（B）。
  3. 目标服务器（B）收到转发来的认证信息后，会认为这是来自可信计算机（A）的合法登录请求，从而授权访问。
• 关键点：这种攻击的成功依赖于目标服务器（B）没有启用SMB 签名功能（该功能能确保会话不被篡改或中继）。

3. SMB 侦听 / 信息枚举

这更像是一种侦察手段，而非直接攻击。

• 原理：攻击者通过扫描网络，发现开放了 445 端口（SMB 服务的默认端口）的计算机。
• 获取信息：通过连接这些 SMB 服务，攻击者可以无需认证或使用空会话，就能枚举出大量的系统信息，例如：

  • 主机名、域名

  • 共享列表

  • 用户列表、组列表

  • 操作系统版本

• 作用：这些信息对于后续的密码爆破或针对性漏洞攻击至关重要。

4. 密码喷射攻击

• 原理：攻击者获取到用户列表后（可能通过 SMB 枚举获得），尝试使用几个常见的弱密码（如“Password123”、“Welcome1”等）去批量登录大量的用户账户。由于对每个账户只尝试少数几次，可以避免触发账户锁定策略。

3. SMB 攻击的危害

一旦成功，SMB 攻击可以导致：

1. 数据泄露：直接访问并窃取共享文件中的敏感数据。
2. 勒索软件感染：像 WannaCry 一样，加密文件并索要赎金。
3. 系统完全失控：攻击者获得系统的最高权限，可以安装后门、创建新账户、运行任意软件。
4. 横向移动：以被攻陷的机器为跳板，利用 SMB 攻击内网中的其他机器。
5. 服务瘫痪：某些攻击可能导致 SMB 服务崩溃，造成文件共享和打印服务中断。

4. 如何防御 SMB 攻击？

防御需要多层次、纵深的安全策略：

1. 禁用过时的 SMBv1：这是最重要、最有效的一步。现代操作系统（Windows 10/11, Server 2016+）默认已禁用或未安装 SMBv1。请确保你的环境中没有使用它。
2. 及时更新和打补丁：始终为操作系统和应用程序安装最新的安全更新。永恒之蓝的补丁在病毒爆发前数月就已发布，及时更新的系统得以幸免。
3. 启用 SMB 签名：强制要求所有 SMB 通信都必须进行数字签名，这可以有效防止中继攻击。在企业域环境中可以通过组策略进行配置。
4. 使用网络防火墙：在网络边界防火墙阻止 445 端口的入站连接。除非绝对必要，否则不要将 SMB 服务暴露在互联网上。
5. 实施网络分段：将网络划分为不同的区域，限制 SMB 流量只能在必要的网段内传播。这样即使一台机器被感染，也难以蔓延到整个网络。
6. 遵循最小权限原则：确保用户和系统账户只拥有完成其任务所必需的最低权限。共享文件夹的访问权限应严格管控。
7. 使用下一代防火墙或入侵检测系统：这些系统可以检测和阻止异常的 SMB 流量模式。

总结

SMB 攻击是利用文件共享协议弱点的一类严重网络威胁，尤其以利用 SMBv1 漏洞的 永恒之蓝 最为著名。防御的核心在于禁用老旧协议、及时修补系统、强化网络访问控制。对于任何使用 Windows 网络或提供文件共享服务的环境，管理和保护 SMB 都是至关重要的安全任务。