SMB(Server Message Block) 프로토콜 개요
SMB란?
SMB(Server Message Block)는 네트워크 상에서 파일 및 프린터 공유, IPC(Interprocess Communication, 프로세스 간 통신)를 제공하는 네트워크 파일 공유 프로토콜입니다.
Windows, macOS, Linux 등 다양한 운영체제에서 사용되며, 클라이언트-서버 모델을 기반으로 동작합니다.
SMB의 사용 포트 번호는 445번
SMB의 주요 기능
✔ 파일 공유 → 원격 파일 읽기/쓰기, 수정
✔ 프린터 공유 → 네트워크 프린터 접근
✔ 디렉터리 탐색 → 원격 파일 및 폴더 목록 가져오기
✔ 사용자 인증 및 접근 제어 → 특정 사용자/그룹별 접근 권한 설정
✔ IPC(프로세스 간 통신) → 네트워크를 통한 서비스 요청 및 데이터 교환
SMB 프로토콜의 동작 방식
SMB는 클라이언트-서버 모델로 작동합니다.
클라이언트: 파일/디렉터리/프린터에 접근하려는 사용자
서버: 공유 리소스를 제공하는 장치
동작 과정:
클라이언트가 SMB 서버에 연결 요청 (세션 설정)
서버가 클라이언트를 인증 (예: 사용자 계정 확인)
클라이언트가 파일/폴더/프린터를 요청하면 서버가 응답
클라이언트는 파일을 읽거나 수정하고, 변경 사항을 서버에 반영
작업이 끝나면 클라이언트가 연결 종료
Lateral SMB Flooding 공격이란?
Lateral SMB Flooding 공격은 SMB(Server Message Block) 프로토콜을 악용하여
네트워크 내에서 SMB를 통해 빠르게 확산되는 해킹 기법입니다.
공격 과정
- 공격자가 네트워크 내 한 대의 PC를 감염
SMB를 통해 다른 시스템으로 감염 확산
- SMB 취약점을 이용해 비인가 원격 코드 실행
방화벽이 열려 있는 다른 PC로 빠르게 감염 전파하여 네트워크 전체 마비
- 수십~수백 대의 PC가 감염되면서 SMB 트래픽 폭주
공유 폴더를 악용하여 랜섬웨어, 웜 형태의 악성코드 전파
시스템이 과부하되거나, 네트워크 전체가 다운됨
