SMBRELAY

• Pentesting
• vulnerabilidades

Concepto y Funcionamiento

SMB Relay es una técnica de ataque basada en capturar y reutilizar credenciales de autenticación SMB sin necesidad de crackearlas inicialmente.

• Escucha hashes de autenticación SMB en la red
• Reenvía (relay) esos hashes a otros sistemas vulnerables
• Permite autenticación como la víctima si el destino acepta SMB sin firma
• Ataque de tipo Man-in-the-Middle (MITM) mediante envenenamiento de resoluciones de nombres

Requisitos y Limitaciones

• Solo funciona en sistemas con SMB Signing deshabilitado
• Muy común en entornos Windows mal segmentados
• Altamente dependiente de:
  • Configuración del dominio
  • Protocolos legacy habilitados
  • Confianza implícita entre sistemas

Protocolos Vulnerables

LLMNR y NBNS

• Protocolos de resolución de nombres locales
• Permiten envenenamiento para redirigir tráfico SMB al atacante
• Deben deshabilitarse en entornos seguros

Flujo General del Ataque

• Envenenamiento de LLMNR/NBNS
• Captura de hashes de autenticación
• Reenvío del hash a otro host SMB vulnerable
• Autenticación exitosa sin conocer la contraseña
• Acceso remoto o ejecución de comandos

Herramientas Relacionadas

• Responder
  • Envenena LLMNR, NBT-NS y MDNS
  • Captura hashes NTLM
  • Muy utilizado junto a SMB Relay
• Mimikatz
  • Extracción de credenciales
  • Dump de memoria para hashes y tickets
  • Especialmente efectivo tras acceso inicial

SMB Relay y Active Directory

• Ataque frecuente en ACTIVE DIRECTORY ATTACS
• Impacto crítico cuando se relaya contra:
  • Controladores de dominio
  • Servidores con permisos elevados
• Permite:
  • Movimiento lateral
  • Escalada de privilegios
  • Acceso a recursos críticos

Enumeración sin Credenciales

NULL Sessions

• Uso de RPC y SMB sin autenticación
• Permite:
  • Enumerar usuarios del dominio
  • Obtener información de políticas
  • Identificar shares accesibles
• Herramienta RPS client (Microsoft Remote Protocol)
  • Acceso remoto sin credenciales en configuraciones débiles

Enumeración SMB y RPC

• Enumerating SMB, RPC, and NetBIOS for Pentesting
• rpcenum
  • Script en Bash
  • Extrae información relevante vía rpcclient
  • Ideal para reconocimiento inicial del dominio

Ataques Relacionados con Kerberos

• Kerberos

  AS-REP Roasting

• Dominios que no requieren pre-autenticación Kerberos
• Permite:
  • Solicitar AS-REP
  • Obtener hash equivalente
  • Fuerza bruta offline
• Muy efectivo contra cuentas de servicio mal configuradas

Post-Explotación

Dump de Memoria

• Dumpear información de la memoria del sistema
• Recuperar:
  • Credenciales en texto claro
  • Hashes NTLM
  • Tickets Kerberos

Crackeo Offline

• Los hashes capturados pueden crackearse offline
• No genera tráfico adicional en red
• Reduce detección por IDS/IPS

Mitigaciones y Defensa

• Habilitar SMB Signing obligatorio
• Deshabilitar LLMNR y NBNS
• Filtrar tráfico SMB innecesario
• Limitar cuentas de administrador del dominio
• Aplicar segmentación de red estricta
• Monitorear tráfico de autenticación anómalo

Impacto en Seguridad

• Compromiso total del dominio en escenarios débiles
• Ataque silencioso y altamente efectivo
• Frecuente en auditorías internas y Red Team

SMBRELAY — Conceptos Avanzados y Temas No Cubiertos

Variantes de SMB Relay

• SMB → SMB
  • Relé clásico contra servicios SMB
  • Permite acceso a shares, ejecución remota y autenticación interactiva
• SMB → HTTP
  • Relay hacia servicios web que aceptan NTLM
  • Común en:
    • IIS
    • Paneles de administración internos
• SMB → LDAP / LDAPS
  • Ataque crítico en dominios modernos
  • Permite:
    • Modificar atributos de AD
    • Agregar máquinas al dominio
    • Delegación de permisos

SMB Relay contra LDAP

• Muy relevante en ACTIVE DIRECTORY ATTACS modernos
• Permite abusar de:
  • ACLs
  • Permisos delegados
• Escenarios comunes:
  • Agregar usuario a grupos privilegiados
  • Habilitar RBCD (Resource-Based Constrained Delegation)

Resource-Based Constrained Delegation (RBCD)

• Abuso avanzado post-SMB Relay
• Permite:
  • Impersonar usuarios contra servicios específicos
  • Escalar hasta Domain Admin
• Requiere:
  • Control de una cuenta de máquina
  • Relay exitoso contra LDAP

NTLM Relay vs NTLM Pass-the-Hash

• NTLM Relay
  • No requiere conocer el hash
  • Se reutiliza la autenticación en tiempo real
• Pass-the-Hash
  • Requiere hash NTLM
  • Uso directo del hash para autenticarse
• SMB Relay es preferible en:
  • Redes internas
  • Entornos con tráfico frecuente de autenticación

SMB Relay y IPv6

• Redes IPv6 mal configuradas amplían la superficie de ataque
• Uso de:
  • DHCPv6 spoofing
  • DNS spoofing
• Permite forzar tráfico de autenticación hacia el atacante
• Muy común en dominios que “no usan IPv6” pero lo tienen habilitado

Coerción de Autenticación

• Técnicas para forzar que una máquina se autentique contra el atacante
• Ejemplos:
  • Peticiones RPC maliciosas
  • Acceso a recursos inexistentes
• Complementa SMB Relay cuando no hay tráfico espontáneo

SMB Relay y Servicios Vulnerables

• Servicios comunes que aceptan NTLM:
  • SMB
  • HTTP
  • MSSQL
  • LDAP
  • WinRM
• El relay no se limita a SMB exclusivamente

Detección y Telemetría

• Eventos de seguridad relevantes:
  • Autenticaciones NTLM anómalas
  • Uso de NTLM en lugar de Kerberos
• Indicadores de ataque:
  • Múltiples intentos de autenticación cruzada
  • Tráfico LLMNR/NBNS inesperado
  • Autenticaciones desde estaciones no habituales

SMB Relay en Red Team

• Uso estratégico:
  • Obtener primer acceso sin explotación directa
  • Movimiento lateral silencioso
• Ideal en:
  • Auditorías internas
  • Suposiciones de insider threat

Relación con Segmentación de Red

• Segmentación deficiente:
  • Amplifica el impacto del relay
  • Permite llegar a sistemas críticos
• Segmentación correcta:
  • Limita alcance del ataque
  • Reduce superficie lateral

Hardening Específico contra Relay

• Forzar Kerberos siempre que sea posible
• Bloquear NTLMv1 y NTLMv2 cuando no sea necesario
• Restringir autenticaciones NTLM entrantes
• Revisar permisos de cuentas de máquina
• Auditoría de servicios que aceptan NTLM

Casos de Uso Reales

• Compromiso de controlador de dominio vía LDAP relay
• Elevación de privilegios sin exploit
• Persistencia mediante modificación de objetos AD

Relación con Dumping de Credenciales

• SMB Relay facilita acceso inicial
• Dump de memoria posterior permite:
  • Persistencia
  • Ataques híbridos (Relay + PtH + Kerberos)

Encaje en la Kill Chain

• Reconocimiento
• Envenenamiento
• Relay de autenticación
• Movimiento lateral
• Escalada de privilegios
• Dominio comprometido

Recursos y Tools para SMB Relay & Ataques Relacionados (2025)

Herramientas Esenciales para Pentesting

• Impacket
  • Conjunto de scripts Python para protocolos Windows: SMB, MSRPC, Kerberos, LDAP, NTLM
  • Scripts útiles:
    • ntlmrelayx.py: automatiza NTLM Relay hacia SMB, LDAP, HTTP, MSSQL
    • smbclient.py: cliente SMB ligero para enumerar y transferir archivos
    • secretsdump.py: extrae hashes de SAM y credenciales de LSASS
    • wmiexec.py, psexec.py: ejecución remota de comandos
    • Kerberos tools: GetTGT.py, GetNPUsers.py para ataques a tickets
  • Muy relevante en 2025 para identity-centric testing y validación de SMB Signing, LDAP Signing y Channel Binding
  • Impacket GitHub
• Metasploit Framework
  • Módulos NTLM/SMB Relay mantenidos y ampliados
  • Soporte para vectores avanzados como SMB → MSSQL Relay
  • Permite ejecución de comandos y queries tras relay exitoso
  • Uso combinado con coerción de autenticación
  • Metasploit Framework
• Responder
  • Envenenamiento de LLMNR, NBNS y MDNS
  • Captura hashes NTLMv1/NTLMv2
  • Herramienta clave para iniciar ataques SMB Relay
  • (Repositorio: github SpiderLabs Responder)
• Pentest Service Enumeration
  • Enumeración y ejecución de acciones por servicio/protocolo
  • Centraliza flujos SMB, LDAP, MSSQL, WinRM
  • Útil para automatizar fases de reconocimiento y post-explotación
  • Pentest Service Enumeration

Técnicas y Frameworks Vinculados

• Reflective Kerberos Relay Attack
  • Variante avanzada descubierta en 2025
  • Permite escalar privilegios hasta NT AUTHORITY\SYSTEM
  • Basado en coerción Kerberos y relay hacia el mismo host
  • Vulnerabilidad asociada: CVE-2025-33073 (parcheada en 2025)
  • RedTeam Pentesting Advisory
• Coerción de Autenticación NTLM/Kerberos
  • Técnicas para forzar autenticaciones hacia el atacante
  • Fundamental cuando no existe tráfico espontáneo
  • Casos conocidos:
    • PetitPotam
    • Printer Bug
    • RPC coercion
  • NTLM Relay Attacks Overview

Protocolos y Configuraciones Críticas

• SMB Signing / LDAP Signing / Channel Binding
  • Mitigaciones clave contra ataques de relay
  • SMB Signing obligatorio reduce ataques laterales
  • LDAP Signing + Channel Binding bloquea relay hacia AD
  • Relevante en Windows Server 2022, 2025 y Windows 11
  • Microsoft NTLM Mitigations

Herramientas Auxiliares y Ecosistema

• Kali Linux — Toolset Actualizado
  • Incluye Impacket, Responder, Metasploit y herramientas de coerción
  • Ideal para laboratorios y auditorías internas
  • Kali Linux Tools
• Enumeración y Automatización
  • Proyectos emergentes complementarios al pentesting clásico
  • Uso de agentes autónomos para automatizar tareas repetitivas
  • Integrables con scripts SMB, LDAP y Kerberos
  • ARACNE Paper

Repositorios y Demos

• impacket — https://github.com/fortra/impacket
• Responder — https://github.com/SpiderLabs/Responder
• Pentest-Service-Enumeration — https://github.com/ssstonebraker/Pentest-Service-Enumeration

Recursos de Aprendizaje y Documentación

• Whitepaper técnico sobre Reflective Kerberos Relay Attack (2025)
  • Reflective Kerberos Relay – RedTeam Pentesting
• Guías actualizadas sobre NTLM Relay y mitigaciones modernas
  • Help Net Security – NTLM Relay

Consejos Prácticos de Uso

• Validar SMB Signing, LDAP Signing y Channel Binding antes de explotar
• Priorizar relay contra LDAP para impacto en dominio
• Combinar coerción + relay para maximizar éxito
• Usar exclusivamente en entornos autorizados
• Cadena típica en 2025:
  • Responder → ntlmrelayx → LDAP abuse → Kerberos abuse → escalada de dominio