Обновление 0x4553-Intercepter теперь с SSL MiTM и SSL Strip

0x4553-Intercepter 0.8.1

Несколько приятных обновлений :

1. Анализ pcap дампов из консоли, ./intercepter -t dump.cap на выходе будет dump.cap.txt со всей сграбленой информацией.

Автостарт снифинга при запуске приложения. В конфигурационном файле необходимо указать порядковый номер интерфейса в графе autorun.

MiTM через ICMP редирект. Не очень распространенная техника, особенно под Windows. Позволяет проводить точечные атаки на целевые адреса. Возможно на ее базе будет создан более универсальный метод позволяющий перехватывать почти весь трафик.

Видео MiTM :

Не прошло и недели как «более универсальный метод» был реализован. Суть его в следующем. Через ICMP редирект мы перенаправляем DNS сервер жертвы на себя. Таким образом все запросы\ответы у нас как на ладони. Допустим жертва хочет посетить rambler.ru, реквест при помощи 0x4553-NAT перенаправляется к DNS серверу. Далее мы получаем ответ, в котором содержится один или несколько разрешенных IP адресов. Вся соль в том, что перед перенаправлением ответа обратно к жертве, мы засылаем серию новых ICMP редирект сообщений, перенаправляя все отрезольвенные адреса на себя.

Вот и все.

Для тех кто не знаком с техникой ICMP Redirect внесу ясность. Поснифать все что движется не получится, есть одно важное ограничение — можно редиректить хосты только из других подсетей.

Пример:

192.168.1.1 — GW

192.168.1.10 - жертва

192.168.1.100 — DNS

при таком раскладе данная атака не сработает.

DNS должен быть или 192.168.2.x или из любой другой подсети.

Демонстрационное видео:

К функционалу программы добавлены 2 техники: SSL MiTM и SSL Strip.

Первая является старой классической техникой подмены сертификатов.

Позволяет перехватывать данные любого протокола, защищенного при помощи SSL.

Стандартно поддерживаются: HTTPS\POP3S\SMTPS\IMAPS.

Опционально можно указать любой дополнительный порт.

При перехвате HTTPS, сертификаты генерируются «на лету», копируя оригинальную информацию с запрашиваемого ресурса. Для всех других случаев используется статичный сертификат. Естественно, при использовании данного функционала неизбежны предупреждения браузера и другого клиентского ПО.

SSL Strip — «тихая» техника для перехвата HTTPS соединений. Долгое время рабочая версия существовала только под unix, теперь подобные действия можно проводить и в среде NT. Суть в следующем: атакующий находится «посередине», анализируется HTTP трафик, выявляются все https:// ссылки и производится их замена на http://

Таким образом клиент продолжает общаться с сервером в незащищенном режиме. Все запросы на замененные ссылки контролируются и в ответ доставляются данные с оригинальных https источников. Т.к. никаких сертификатов не подменяется, то и предупреждений нет.Для имитации безопасного соединения производится замена иконки favicon. Одно закономерное условие успешного перехвата — URL должен быть введен без указания префикса https.

Официальный сайт — sniff.su

Вопросы можно задать на форуме: intercepter.maxforum.org/

или по почте: intercepter.mail@gmail.com