ไขความลับการโจมตี SMB Relay: เมื่อผู้บุกรุกสวมรอยเป็นคุณในเครือข่าย

ไขความลับการโจมตี SMB Relay: เมื่อผู้บุกรุกสวมรอยเป็นคุณในเครือข่าย

เคยสงสัยไหมว่าผู้ไม่หวังดีจะเข้าถึงระบบภายในองค์กรได้อย่างไร โดยที่ไม่ได้ขโมยรหัสผ่านไปตรงๆ? หนึ่งในเทคนิคที่ใช้กันแพร่หลายและอันตรายคือการโจมตีแบบ SMB Relay ซึ่งเป็นการโจมตีแบบ “คนกลาง” (Man-in-the-Middle) ที่จะทำให้ผู้โจมตีสามารถยืนยันตัวตนในเครือข่ายได้อย่างชอบธรรม

การโจมตีนี้มักจะเริ่มต้นจากการหลอกให้เครื่องเหยื่อเชื่อมต่อกับผู้โจมตี เช่น ผ่านเทคนิค LLMNR/NBT-NS Poisoning ทำให้เหยื่อเข้าใจผิดว่าผู้โจมตีคือปลายทาง

การทำงานของ SMB Relay: แฮกเกอร์ฉกสิทธิ์ได้อย่างไร

โปรโตคอล SMB (Server Message Block) คือหัวใจของการแชร์ไฟล์ใน Windows การยืนยันตัวตนด้วยโปรโตคอล NTLM (NT LAN Manager) ทำงานผ่านกระบวนการ “Challenge-Response”

นี่คือขั้นตอนง่ายๆ ของการโจมตี:

1. เครื่องเหยื่อ พยายามเชื่อมต่อไปยังเซิร์ฟเวอร์
2. ผู้โจมตี ดักจับ การเชื่อมต่อ และทำหน้าที่เป็นตัวกลาง
3. ผู้โจมตีส่ง ชื่อผู้ใช้ ของเหยื่อไปยัง เซิร์ฟเวอร์จริง
4. เซิร์ฟเวอร์จริงส่ง Challenge (ข้อความสุ่ม) กลับให้ผู้โจมตี
5. ผู้โจมตี ส่ง Challenge ต่อ ไปยังเครื่องเหยื่อ
6. เครื่องเหยื่อใช้ รหัสผ่านที่ถูกแฮช ประมวลผลร่วมกับ Challenge แล้วสร้าง Response ส่งกลับให้ผู้โจมตี
7. ผู้โจมตี ส่ง Response ต่อ ไปยังเซิร์ฟเวอร์จริง
8. เซิร์ฟเวอร์จริง ตรวจสอบ Response และอนุญาตให้ผู้โจมตี ซึ่งตอนนี้สวมรอยเป็นเหยื่อ เข้าถึงทรัพยากรได้

ผู้โจมตีไม่จำเป็นต้องรู้รหัสผ่านจริง แค่ส่งต่อชุดข้อมูล Challenge และ Response ก็สามารถ ยืนยันตัวตน และเข้าถึงระบบด้วยสิทธิ์ของเหยื่อได้

ทำไม SMB Relay ถึงอันตราย?

เมื่อผู้โจมตีสวมรอยได้ จะได้รับ สิทธิ์ในการเข้าถึง เหมือนผู้ใช้นั้นๆ:

• เข้าถึง ไฟล์และโฟลเดอร์ ที่แชร์
• สามารถ รันคำสั่ง บนเซิร์ฟเวอร์บางตัว
• อาจ ยกระดับสิทธิ์ (Privilege Escalation) เพื่อเข้าควบคุมระบบที่สูงขึ้น
• สามารถ เคลื่อนที่ภายในเครือข่าย (Lateral Movement) ได้อย่างอิสระ ทำให้ตรวจจับยาก

มาตรการป้องกัน SMB Relay ที่ต้องรู้

ป้องกัน SMB Relay ได้ด้วยการตั้งค่าที่เหมาะสม:

• เปิดใช้งาน SMB Signing: นี่คือมาตรการป้องกันที่สำคัญที่สุด SMB Signing บังคับให้ทุกแพ็กเก็ต SMB ต้องมีการ ลงนามดิจิทัล (Digital Signature) การโจมตีแบบ Relay จะล้มเหลวทันที เพราะผู้โจมตีไม่สามารถสร้างลายเซ็นที่ถูกต้องได้ จำเป็นต้องเปิดใช้งานทั้งบนไคลเอนต์และเซิร์ฟเวอร์

• ปิดการใช้งาน LLMNR/NBT-NS: โปรโตคอลเหล่านี้มักถูกใช้เริ่มโจมตี การปิดใช้งานช่วยลดช่องโหว่

• ใช้ Kerberos แทน NTLM: หากเป็นไปได้ ควรบังคับใช้ Kerberos แทน NTLM ซึ่งปลอดภัยกว่า

• หลักการให้สิทธิ์น้อยที่สุด (Principle of Least Privilege): กำหนดสิทธิ์การเข้าถึงผู้ใช้ให้เท่าที่จำเป็น เพื่อจำกัดความเสียหายหากบัญชีถูกประนีประนอม

• การแบ่งส่วนเครือข่าย (Network Segmentation): แยกเครือข่ายเป็นส่วนๆ เพื่อจำกัดการแพร่กระจายการโจมตี

เข้าใจกลไกการโจมตี SMB Relay และนำมาตรการป้องกันเหล่านี้ไปใช้ จะช่วยยกระดับความปลอดภัยของเครือข่ายให้แข็งแกร่งขึ้นได้อย่างมีนัยสำคัญ