🛡 ما هو هجوم SMB Relay Attack؟ 🧑💻..
هو نوع من هجمات Man-in-the-Middle (MitM) حيث يعترض المهاجم اتصالات SMB Protocol (المُستخدم في مشاركة الملفات والطابعات في شبكات Windows)، ثم يُعيد توجيه (Relay) بيانات المصادقة (Authentication Credentials) إلى خادم آخر للحصول على وصول غير مصرح به (Unauthorized Access).
⚙️ كيف يعمل بالتفصيل❓
1️⃣ المرحلة الأولى: التموضع في الشبكة (Network Positioning):
يستخدم المهاجم تقنيات مثل:
الـ ARP Poisoning: لتوجيه حركة المرور عبر جهازه.
📌 الـ LLMNR/NBT-NS Poisoning: لخداع الأجهزة وجعلها تثق به.
2️⃣ المرحلة الثانية: اعتراض المصادقة (Authentication Interception):
عندما يحاول العميل (Client) الوصول إلى مجلد مشترك (Shared Folder)، يرسل طلب مصادقة باستخدام NTLM Authentication، بدلاً من وصول الطلب إلى الخادم الحقيقي (Legitimate Server)، يعترضه المهاجم.
3️⃣ المرحلة الثالثة: اعادة توجيه المصادقة (Credential Relaying):
📌 يرسل المهاجم طلب المصادقة إلى خادم آخر (Target Server).
📌 الخادم الجديد يرسل رمز تحقق (Challenge) للمهاجم.
📌 المهاجم يُمرر التحدي إلى العميل، الذي يُجيب عليه باستخدام NTLM Hash.
🔥 المهاجم يُرسل الرد إلى الخادم، الذي يُصدقه (Validates) ويعطيه وصولاً (Access).
4️⃣ المرحلة الرابعة: التنفيذ (Post-Exploitation):
✅ المهاجم الآن لديه صلاحيات (Privileges) المستخدم الأصلي!
✅ يمكنه:
✅ سرقة البيانات (Data Theft).
✅ تنفيذ أوامر (Command Execution).
✅ الانتقال إلى أجهزة أخرى (Lateral Movement).
💥 لماذا هذا الهجوم خطير ⁉️
✅ لا يحتاج إلى فك التشفير (No Brute-Force Needed): المهاجم يعيد استخدام NTLM Hash مباشرة.
✅ يصعب اكتشافه (Stealthy): يبدو كاتصال عادي.
⛔️ ما زال فعالاً في 2025 بسبب إهمال تفعيل SMB Signing واستخدام NTLM بدلاً من Kerberos.
✅ طرق الحماية (Mitigation Techniques):
1️⃣ تفعيل SMB Signing (يُجبر التوقيع الرقمي على جميع حزم SMB).
2️⃣ تعطيل NTLM واستخدام Kerberos (أكثر أماناً).
3️⃣ تقسيم الشبكة (Network Segmentation) للحد من انتشار الهجوم.
4️⃣ تعطيل LLMNR/NBT-NS لتفعيل الحماية من الإنتحال.
5️⃣ مراقبة حركة NTLM (باستخدام SIEM مثل Splunk).
6️⃣ تحديث الأنظمة (Patch Management) لإصلاح الثغرات.
🛠 الأدوات المستخدمة في الهجوم (Attack Tools):
✅ اداة Responder: لاعتراض NTLM Challenges.
✅ اداة ntlmrelayx (من Impacket): لترحيل المصادقة إلى SMB/LDAP/HTTP.
✅ اطار Metasploit.
💥الخلاصة:
✅ الهجوم يعتمد على إعادة استخدام (Replay) بيانات المصادقة.
✅ الحماية الأساسية تكون بـ SMB Signing و تعطيل NTLM.
✅ لا يزال الهجوم فعالاً بسبب الإهمال في التحديثات الأمنية.
