Робоча програма для хакерів Intercepter-NG. Інформаційний портал з безпеки Interceptor ng не працює

Intercepter-NG дозволить визначити MAC-адресу та IP-адресу будь-якого користувача, підключеного до громадської мережі. Також за допомогою програми можна перехоплювати файли cookie, вихідний та вхідний трафік з незаконною метою.

Характеристики

Intercepter-NG - багатофункціональна програма, яка в умілих руках перетворюється на інструмент для здійснення незаконних операцій. По-перше, з її допомогою можна впізнавати всі пристрої, підключені до мережі. Серед даних надається не тільки IP-адреса, але також унікальна MAC-адреса пристрою.

По-друге, програма дозволяє перехоплювати двосторонній трафік обраного користувача, переглядаючи, використовуючи і навіть заміняючи файли. Оскільки у програмі немає докладних інструкційз використання функціоналу, необхідно мати мінімальні знання. У цьому випадку ви не тільки дізнаєтесь IP або мак-адресу, але також зможете просто перехоплювати файли куки, щоб читати чуже листування і навіть робити дії від імені користувача.

Особливості

Root доступ. На пристрої повинні бути рут-права, щоб скористатися всім функціоналом програми.
Можливість дізнатися IP та MAC-адресу будь-якого користувача, який користується тією ж точкою доступу, що й ви.
Можливість перехоплювати файли cookie для читання листування, дії з акаунтами.
Можливість перехоплювати вихідний та вхідний трафік, замінювати файли.

Мінімалістичний інтерфейс та стабільна робота – ще пара особливостей програми, які роблять його популярним у вузьких колах.

Після 10 років розробки (саме стільки стукнуло проекту) індекс версії Intercepter-NG дійшов до 1.0. За традицією вихід оновлень під Windows відбувається раз на рік, і ювілейний реліз дійсно вдався. Хочеться подякувати всім людям, які за всі ці роки надавали допомогу у тестуванні, давали ґрунтовний фідбек та ідейно надихали. Почнемо огляд з дрібниць і наприкінці розглянемо найсмачнішу фічу Intercepter-NG 1.0.

1. У RAW Mode з'явилася можливість експортувати вибрані пакети в файл. При включеному Autosave, пакети, що містять авторизаційні дані, будуть писатися в окремий.pcap.

2. У полі Extra SSL Ports, яке відноситься до SSL MiTM, тепер можна вбивати кілька портів через кому.

3. При атаці LDAP Relay на контролер домену з мовою, відмінною від англійської, в експертних налаштуваннях можна вказати необхідну групу для додавання користувача, наприклад, замість Domain Admins вказати російський аналог Адміністратори домену.

4. Виправлена помилка в обробнику NTLMv2SSP хешів, яка не дозволяла коректно підбирати пароль.

5. Множинні покращення в Bruteforce Mode. Додано: підтримка SSL для HTTP, підтримка UTF8 при брутфорсі LDAP, протоколи VNC, Vmware Auth Daemon та RDP. Перебір RDP працює на Windows 7/8/2008/2012. Підтримується NLA і логіни паролі будь-якою мовою. RDP Security Layer не підтримується.

6. До HTTP Injections додано опцію «Inject Reverse Shell». Це Forced Download з бекконект пейлоадом на вбудований shell інтерцептера.

7. Множинні поліпшення та зміни в цілому. Тепер за замовчуванням спуфінг вимкнено.

FATE

Режим FATE поєднує дві нові функції: FAke siTE і FAke updaTE.

У цьому шаблоні внесено невеликі зміни, щоб обидва поля були активними одночасно. Перед атакою необхідно вказати домен, на якому розміщуватиметься шаблон. Після початку атаки, трафік мети інжектиться редирект на обраний домен і згодом інтерцептер автоматично проводитиме DNS спуфінг на необхідні адреси. У результаті браузері відкриється обрана сторінка авторизації. Процес клонування сайту також продемонстрований у відео на прикладі mail.yandex.ru.

Любителям linux добре знайомий інструмент під назвою Evilgrade, який дозволяє експлуатувати механізм автоматичного оновлення та впроваджувати довільний пейлоад. Насправді цей вектор сильно переоцінений, по-перше, значний список підтримуваних додатків в Evilgrade в основному застарів, а по-друге, більшість популярних додатківперевіряють оновлення безпечним шляхом.

Тим не менш, всі чули про гучні недогляди в механізмах оновлення великих вендорів і напевно це буде і в майбутньому, тому аналог Evilgrade з'явився в Intercepter-NG, але список софту, що підтримується, дуже скромний. За бажання можна додавати свої шаблони, їх структуру можна подивитися в miscFATEupdates. Надсилайте софт, який оновлюється відкрито, поповнюватимемо базу.

X-Scan

Багато років тому мені дуже подобався мережевий сканер безпеки від китайської команди Xfocus під назвою X-Scan. Невелика вага, зручний дизайн, гарний функціонал. У середині нульових він дозволяв творити дуже багато, але надалі його розробка зупинилася і в нинішніх реаліях мало корисний. З цієї причини мені хотілося створити його сучасний аналог, але все якось не виходило до недавніх пір. За старим коханням саме під цією назвою в Intercepter-NG з'явився свій мережевий сканер, який прийшов на заміну примітивному сканеру портів з минулих версій. Отже, що він вміє.

1. Сканувати відкриті портита евристично визначати такі протоколи: SSH, Telnet, HTTPProxy, Socks45, VNC, RDP.

2. Визначати наявність SSL на відкритому портучитання банери і різні веб-заголовки.

3. При виявленні проксі або соксу перевіряти їх відкритість назовні.

4. Перевіряти безпарольний доступ до серверів VNC, перевіряти SSL на HeartBleed. Читати version.bind у DNS.

5. Перевіряти на базі наявність скриптів на веб-сервері, потенційно вразливих до ShellShock. Перевіряти по базі список директорій та файлів на 200 OK, а також список директорій із robots.txt.

6. Визначати версію ОС через SMB. За наявності анонімного доступу отримувати локальний час, uptime, список загальних ресурсів та локальних користувачів. Для знайдених користувачів запускається автоматичний перебір паролів.

7. Визначати вбудований список користувачів SSH через замір часу відгуку. Для знайдених користувачів запускається автоматичний перебір паролів. Якщо енумерація не дала результату (не працює на всіх версіях), перебір запускається тільки для root.

8. Автоматичний брутфорс для HTTP Basic та Telnet. З огляду на особливості telnet протоколу можливі помилкові спрацьовування.

Сканувати можна будь-які цілі, як у локальній мережі, так і в інтернеті. Можна вказати список портів для сканування: 192.168.1.1:80,443 або діапазон 192.168.1.1:100-200. Можна вказувати діапазон адрес для скана: 192.168.1.1-192.168.3.255.

Для більш точного результату одночасно можна сканувати тільки 3 хоста. Буквально в останній момент були додані перевірки на дані з SSL сертифікатів, наприклад, якщо зустрічається слово Ubiquiti і при цьому відкрито 22 порт, то автоматично запускається брутфорс SSH користувача ubnt. Теж для пари Zyxel залізок з користувачем admin. Для першого релізу сканера функціоналу достатньо, і він непогано налагоджений. Надсилайте свої ідеї та побажання.

ps: найближчим часом з'явиться перша версія мануалу російською мовою

Site: sniff.su
Mirror: github.com/intercepter-ng/mirror
Mail: [email protected]
Twitter: twitter.com/IntercepterNG
Forum: intercepterng.boards.net
Blog: intercepter-ng.blogspot.ru

Подивилося: 2890

Intro

З великим задоволенням хочу представити нову версію Intercepter-NG 0.9.10, яка, як на мене,
значною мірою розширює сферу застосування інструменту. Цей оглядбуде представлений не у вигляді сухого перерахування
нововведень, а скоріше як опис нових векторів атак разом із низкою технічних подробиць та елементами hack-story. Приступимо…

Network Scan

Як завжди було зроблено чимало виправлень та дрібних покращень, які немає сенсу перераховувати.
Хто часто використовує інструмент знає, що одним з основних режимів є режим сканування мережі і зокрема функція Smart Scan. До вже звичної інформації про IP та MAC адреси, виробника мережевої карти та операційну систему, додався висновок імені комп'ютера.
За той же проміжок часу тепер додатково можна дізнатися про ім'я Netbios або назву пристрою під керуванням iOS.
Для резольва останнього використовується протокол MDNS, на основі якого працює Apple"івський протокол Bonjour. Всі отримані імена тепер зберігаються в кеш-файл і якщо при наступних скануваннях з якоїсь причини інформація про ім'я хоста не була отримана динамічно, вона буде взята з кеша Тут же можна згадати про появу функції Auto ARP Poison, яка включається в експертних налаштуваннях.В режимі автоматичного пойзона достатньо внести лише 1 хост до списку цілей, а Intercepter сам скануватиме мережу з певним інтервалом і автоматично додавати нові цілі.

Bruteforce Mode

У цьому режимі додалася підтримка TLS для протоколів SMTP та POP3, а також перебір TELNET авторизації.
Тепер при виникненні таймууту, активний тред перезапускається з того самого місця і процес перебору продовжується.
З'явився Single Mode, який свідчить про те, що кожну нову пару LP слід перевіряти із встановленням нового з'єднання, для деяких протоколів це дозволяє збільшити швидкість роботи. Лог роботи зберігається у brute.txt.

Traffic Changer

Не раз були запити реалізувати функцію заміни трафіку і вони не залишилися поза увагою, але не варто радіти передчасно.
На зустрічне запитання: «а навіщо саме вам потрібна ця можливість?» деякі користувачі важко відповісти або казали, що заради жарту змінювати слова в web-трафіку. І щоб не пояснювати кожному жартівнику, чому результат не завжди виправдовує очікування, можна замінювати дані лише рівного розміру, не змінюючи довжину пакетів. Обмеження зовсім не пов'язане з проблемами технічної реалізації, немає жодних труднощів дробити ethernet фрейми з перерахуванням відповідних tcp полів. Все впирається у прикладні протоколи. Розглянемо приклад із HTTP.

Допустимо браузер відкриває site.com/file.txt, в якому міститься рядок "12345". У відповідь на GET запит сервер поверне HTTP заголовок, в якому буде вказана довжина даних, що передаються - Content-length: 5. Що буде якщо ми замінимо «12345» на «12356»? Браузер скачає лише 5 байт, відкинувши додану «6», а якщо ми зменшимо розмір даних, замінивши «12345» на «1234», браузер отримає лише 4 байти і чекатиме від сервера ще 1 байт доти, доки з'єднання не розірветься по таймауту. Саме тому зроблено це обмеження на розмір. Міняти можна як текстові дані, так і бінарні, синтаксис для бінарних патернів як у Сі - "x01x02x03".
Якщо потрібно підміну в HTTP трафіку, то в налаштуваннях необхідно увімкнути опцію "Disable HTTP gzip encoding".

HSTS Spoofing

Як і було обіцяно, з'явився обхід HSTS під час SSL Strip. Техніка обходу відносно проста, але саме в реалізації є певні складності, тому не варто чекати якихось особливих результатів. Розглянемо приклад на Яндекс Пошта з використанням браузера Chrome. Якщо зайти на , то у верхньому правому куті буде https посилання «Увійти в пошту», з якою SSL Strip легко справляється. Далі відкриється форма авторизації, де методом POST передаються дані на . Навіть "стрипнувши" https авторизація відбудеться за SSL, т.к. хост passport.yandex.ru внесений до preloaded списку хрому. Для того щоб перехопити дані нам необхідно замінити ім'я хоста passport.yandex.ru на якесь інше, щоб браузер не виявив, що цей ресурс слід відвідувати строго по безпечному з'єднанню. Для прикладу можна замінити passport.yandex.ru на paszport.yandex.ru, у цьому випадку дані будуть відправлені у відкритому вигляді на змінене ім'я домену. Але т.к. такого домену - paszport.yandex.ru немає, то додатково потрібно зробити DNS Spoofing, тобто. клієнт при резольві paszport.yandex.ru повинен отримати у відповідь оригінальну адресу ip від passport.yandex.ru. Ця процедура автоматизована і вимагає додаткового втручання користувача під час проведення атаки. Єдине, що потрібно так це попередньо скласти список замін у mischsts.txt. За замовчуванням є кілька записів для yandex, gmail, facebook, yahoo. Важливо розуміти, що дана техніка обходу не дозволить перехопити сесію або авторизацію, якщо користувач введе в браузері facebook.com, т.к. браузер одразу відкриє безпечну версію сайту. У цьому випадку атака можлива лише якщо посилання на facebook.com буде взято з іншого ресурсу, наприклад, при введенні facebook на . З основних проблем у реалізації атаки можна відзначити непередбачувану логіку роботи сайтів зі своїми субдоменами та особливості web-коду, які можуть звести нанівець будь-які спроби
обходу HSTS. Саме тому не варто додавати до списку будь-які сайти, навіть домени, присутні в Intercepter-NG за замовчуванням, мають свої особливості і працюють коректно далеко не завжди. Городити милиці під кожен ресурс зовсім не хочеться, можливо в майбутньому буде внесено деякі універсальні поліпшення, а поки що, як кажуть, as is.
Ще один нюанс, в поточній реалізації для проведення DNS Spoofing"а необхідно, щоб DNS сервер знаходився не в локальній мережі, щоб була можливість бачити dns запити до шлюзу і відповідати на них потрібним чином.

Важливо, що в нової версіїпомітно покращено роботу самого SSL Strip.

Forced Download and JS Inject

Обидва нововведення відносяться до режиму HTTP Injection. Російською Forced Download можна перекласти як «примусове закачування», адже саме це відбувається на боці мети під час web-серфінгу. При заході на сайт пропонується завантажити заданий атакуючим файл, залежно від налаштувань браузера він може самостійно завантажитись, а користувач вже вибере, запустити його чи ні.
Як ви розумієте, у форсоване завантаження можна додати файл i.exe з довільним вмістом, причому джерелом цього файлу буде сайт, який в даний моментвідвідує користувач. Знаючи, що мета збирається відкрити adobe.com, ви можете видати flashplayer.exe, і як джерело цього файлу буде вказано adobe.com або один із його субдоменів.
Після одноразової видачі форсування відключається, для повторного інжекта потрібно знову натиснути на відповідну галку.

JS Inject у явному вигляді немає серед елементів управління, т.к. по суті це звичайнісінький http inject, але з однією відмінністю. При заміні одного файлу іншим, наприклад картинок.jpg на задану, відбувається саме заміна одного вмісту іншим. Заміна.js скрипта з великою ймовірністю може порушити роботу ресурсу, тому в новій версії js inject не замінює один скрипт іншим, а дописує його до існуючого, додаючи можливість впровадити додатковий код, не торкаючись оригінального.

SSL MiTM

Плавно підходимо до найцікавіших новинок. У новій версії було повністю переписано код для SSL MiTM. Тепер він працює швидко та стабільно. Також змінився алгоритм генерації сертифікатів, у них почали додаватися додаткові dns записи та всі сертифікати підписуються єдиним ключем (miscserver). Це означає, що додавши цей самопідписаний сертифікат до списку довірених на комп'ютері цілі, можна буде прослуховувати трафік SSL до будь-якого ресурсу (де немає SSL Pinning). Функція Cookie Killer працює і для SSL з'єднань. З'явилися чорні (miscssl_bl.txt) та білі списки (miscssl_wl.txt). У них можна виключити або навпаки жорстко вказати IP-адреси або домени, до яких слід або не застосовувати SSL MiTM. При вказівці extra ssl port більше немає необхідності вказувати тип readwrite, достатньо вказати номер порту. Весь трафік пишеться у ssl_log.txt.

Group Policy Hijacking

Чергова killer-feature у Intercepter-NG. Незважаючи на те, що техніка відкрита зовсім не мною, це перша публічна та повністю функціональна реалізація цієї атаки. Докладний описє і .

В черговий раз SMB підклав свиню Microsoft, адже завдяки цій уразливості приблизно за півтори години можна отримати доступ до будь-якого комп'ютера в домені (крім домен-контролера). У чому суть.

Кожні 90 + випадкова кількість від 0 до 30 хвилин домену домену запитує групові політики з DC. Відбувається це за SMB шляхом відкриття мережевої адреси DCSYSVOLdomain.namePoliciesUUIDgpt.ini.

Вміст даного файлунаступне:

Version=12345

Це число є відносною версією поточних групових політик. Якщо з останнього оновленняверсія не змінилася, то процес отримання групових політик припиняється, але якщо версія інша – значить потрібно їх оновити. На цьому етапі клієнт запитує у домену активні CSE (client-side extensions), до яких відносяться різні скрипти, завдання для планувальника і так далі. Природно, що атакуючий, вставши посередині, може підмінити одне із завдань, яке генерується контролером у вигляді файлу. При такому розкладі експлуатація була б дуже простою, але всі ці CSE за замовчуванням відключені і єдине, що можна зробити – модифікувати реєстр, адже при оновленні групових політик клієнт запитує ще один файл – GptTmpl.inf, через який можна додати або видалити запис. Автори обох статей для демонстрації виконання коду вирішили скористатися добре відомим методом – AppInit_Dll. Прописали в потрібний ключ реєстру завантаження своєї DLL з мережевого шляху, після чого новостворений процес у системі виконував довільний код. Але цей метод годиться лише як proof of concept, адже AppInit_Dll за замовчуванням відключено вже багато років. У зв'язку з цим було поставлено завдання знайти інший спосіб віддаленого виконання коду, причому без необхідності чекати на перезавантаження, як у випадку з додаванням автозапуску в ключ Run.

Безрезультатно було зроблено багато спроб тим чи іншим чином досягти бажаного, поки одна хороша людина (thx man) не підказав дуже цікавий ключ реєстру, про який я раніше нічого не знав.

У ключі можна прописати дебагер для будь-якого.exe файлу. Наприклад вказати, що calc.exe необхідно відкривати через c:pathdebuger.exe і як тільки буде запущено калькулятор - насамперед відкриється дебагер, в командному рядкуякого буде шлях до calc"а. Це вже здавалося майже готовим рішенням, адже вдалося виконати код без перезавантаження, хоч і за певних умов. На той момент мене влаштувало обмеження на неминучість участі користувача в процесі отримання доступу, тобто замість калькулятора можна було виконати код через виклик IE або Chrome або будь-якої іншої програми, але виникла нова проблема.Якщо атакований користувач не мав адміністративних прав, то навіть отримавши шелл була відсутня можливість видалити раніше доданий до реєстру дебагер, а це означає, що після припинення атаки або при перезавантаженні - додаток, що експлуатується, переставав працювати, адже запуфлена мережева адреса з debuger.exe більше не існувала.
Потрібно було знайти спосіб отримати не просто шелл доступ, а обов'язково з правами адміністратора. Опускаючи всі подальші проблеми опишу результат. Після отримання групових політик система їх має застосувати, для цього викликається svchost і створює новий процес taskhost.exe із правами SYSTEM. Вставши як дебагер для taskhost.exe було вбито відразу два зайця - ми не просто отримували шелл з правами SYSTEM, але й отримували його відразу ж, без будь-якого ручного втручання з боку користувача. Атака повністю автоматизована, можна вибрати разом групу цілей і протягом півтори-двох годин отримати цілий набір активних шелл-сесій із максимальними правами. Для цього навіть не обов'язково бути членом домену. Єдине, що необхідно - увімкнути Network access: Let Everyone permissions apply to anonymous users. При тестуванні, щоб не чекати півтори години, достатньо з консолі запустити gpupdate. Перевірено на патчених Windows 78.1 у доменах із серверами 2008R22012R2.

Які засоби захисту? Microsoft випустили патч для MS15-011, вводячи так званий UNC Hardened Access, який вимагає ручного налаштування. Цікава фраза присутня у бюлетені:

«Users whose accounts are configured to have fewer user rights on system could be less affected than users who operate with administrative user rights.»

Як стало зрозуміло, загроза однаково висока будь-якого користувача.

Незважаючи на весь потенціал GP Hijacking, як мені здається, на особливу увагу заслуговує інше нововведення даного релізу…

Десерт

Те, про що йтиметься на завершення, не можна назвати новою функцією. Швидше це вектор атаки, який відкривається при спільному використанніцілого ряду вже існуючих рішень у Intercepter-NG.

Наголос у цьому випадку робиться на бездротові мережіі мобільні пристрої, зокрема під керуванням iOS - Iphone"и та Ipad"и. Як відомо, елементарний arp poison цих пристроїв практично нічого не дає. Перехоплення cookie від відкритих сайтів у браузері мабуть єдине, на що можна розраховувати, т.к. в більшості випадків користувач працює через фірмові додатки від різних сервісів, де спілкування з сервером відбувається через SSL. Навіть якщо спробувати провести SSL MiTM, то нічого не вийде, програми просто перестануть працювати з недовіреним сертифікатом. Тому вважається, що від мережевого перехоплення телефони та планшети досить непогано захищені за умовчанням.

Але уявіть наступну ситуацію, середньостатистичний користувач сидить у додатку Instagram і переглядає стрічку.
Раптом програма перестає працювати, нарікаючи на відсутність підключення і користувач відкриває у браузері instagram.com, де спливає alert із текстом «Для продовження роботи на instagram.com встановіть новий сертифікатбезпеки» та після закриття повідомлення на екрані з'являється запит на встановлення нового сертифіката. Подальший розвитокподій звичайно залежить від користувача, але ймовірність того, що він все-таки встановить пропонований сертифікат досить висока, адже ситуація цілком правдоподібна: перестав працювати додаток, зайшов на сайт, побачив попередження про необхідне оновлення, оновився - все запрацювало, хоча насправді атакуючий підставив сертифікат і тепер читає весь SSL трафік. Впровадження Forced Download, JS Inject і SSL MiTM, що стабільно працює, дозволяють за дві секунди реалізувати подібний сценарій:

1. Робимо.js inject з використанням alert("Please install new certificate for %domain%.");
У шаблоні %domain% буде підставлено ім'я сайту, на якому прийшов інжект.

2. Форсуємо завантаження miscserver.crt - кореневого сертифіката в Intercepter-NG.

3. Включаємо SSL MiTM (а також ssl strip для роботи інжектів).

4. Після запуску атаки на пристрої цілі перестануть працювати SSL підключення, а в браузері буде видано alert із сертифікатом.

Виникає закономірне питання, що робити з SSL трафіком, окрім пасивного перехоплення вже встановлених сесій. На допомогу приходить Cookie Killer, який справно працює, наприклад, на Facebook.
Є на iOS і свій святий грааль – iCloud, але обнулення cookie не допоможе скинути його сесію. Саме для iCloud, а також Instagram і VK, було додано функція iOS Killer, яка скидає сесії зазначених програм і дозволяє перехопити повторну авторизацію. Такий фокус не можна виконати з AppStore, т.к. там, мабуть, використовується SSL Pinning. Цей вектор випробуваний на IOS 56 та 8.4.

У планах було додати можливість самостійно створювати обробники на LUA або через DLL плагін, але, судячи з реакції користувачів реального інтересу, ні в кого немає. Нова версія буде швидше за все вже наступного року, можливо восени вийде функціональне оновлення Intercepter-NG під Android. Запитання, відгуки, feature-реквести завжди вітаються. На цьому все.

Демонстрація нових функцій представлена відео.

Контакти проекту.

Багатофункціональна програма дозволяє впізнавати всі пристрої в громадській мережі, визначати IP- і MAC-адреси пристроїв, перехоплювати трафік і підміняти файли, що завантажуються. Досвідченому користувачеві нічого не варто прочитати чуже листування по email і зайти в акаунт соціальної мережіза допомогою цієї утиліти.

Характеристика

Як було зазначено вище Intercepter-NG є програмою для, можна сказати, несанкціонованої взаємодії з іншими пристроями. У пару кліків ви зможете визначити IP-адресу та Mac-адресу пристрою, перехопити трафік і файли Cookies, прочитати чуже онлайн-листування або зайти в чужий аккаунт у соціальній мережі, щоб виконати свої «брудні» справи.

Досвідчені користувачі запевняють, що програма робоча, і при підключенні до однієї точки доступу Wi-Fi можна перехоплювати чужий трафік.

Особливості

По-перше, потрібно володіти мінімальними знаннями. Додаток не має інструкцій, довідників, режимів навчання. Відповідну інформацію потрібно шукати на тематичних форумах.

По-друге, для функціонування утиліти необхідно отримати права суперкористувача. Пам'ятаючи про ризики, які таке рішення несе, важливо зважити всі за і проти. А наважившись отримати рут-права, обов'язково завантажити та встановити утиліту-менеджер прав доступу, за допомогою якої можна в режимі реального часу контролювати доступ додатків до прав супер-користувача.

Опис Intercepter-NG

Intercepter-NG – це багатофункціональний набір мережного інструментарію для IT спеціалістів різного типу. Головною метою є відновлення цікавих даних з мережевого потоку та виконання різноманітних атак людина-посередині (MiTM). Крім цього, програма дозволяє виявляти ARP спуфінг (може застосовуватися для виявлення атак людина-посередині), виявляти та експлуатувати деякі види вразливостей, брут-форсувати облікові дані входу мережевих служб. Програма може працювати як з живим потоком трафіку, так і аналізувати файли із захопленим трафіком, для виявлення файлів та облікових даних.

Програма пропонує такі функції:

Сніффінг паролів/хешей наступних типів: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC++, VNC, MYSQL, ORACLE, NTLM, KRB5 , RADIUS
Сніффінг повідомлень чатів: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
Реконструкція файлів: HTTP, FTP, IMAP, POP3, SMTP, SMB
Різні типи сканування, такі як нерозбірливий (Promiscuous) режим, сканування ARP, DHCP, шлюзу, портів та Smart
Захоплення пакетів та подальший (офлайн) аналіз/RAW (сирий) режим
Віддалений захоплення трафіку через RPCAP демона та PCAP Over IP
NAT, SOCKS, DHCP
ARP, DNS через ICMP, DHCP, SSL, SSLSTRIP, WPAD, SMB ретранслятор, SSH MiTM
SMB Hijack (перехоплення), LDAP ретранслятор, ін'єкція MySQL LOAD DATA
ARP Watch, ARP Cage, HTTP ін'єкція, експлойт Heartbleed, Kerberos Downgrade, Cookie Killer
DNS, NBNS, LLMNR спуфінг
Брутфорс різних мережевих служб

Основна версія працює на Windows, є консольна версія для Linux та версія для Android.

Ліцензія: «як є»

Режими Intercepter-NG

Intercepter-NG має сім основних режимів, які відповідають кількості вкладок програми та кількості головних кнопок:

Це режими:

Месенджерів
Resurrection
Паролей
Сканування
RAW (сирий)

На перше місце поставлено Режим Месенджерів(Емблема ICQ). Це сталося з історичних причин — спочатку Intercepter-NG створювався як програма перехоплення повідомлень ICQ та інших месенджерів.

Режим Resurrection(Емблемою на кнопці є Фенікс) означає відновлення файлів з мережевого потоку. Це можуть бути файли зображень, переглянутих на веб-сайтах, а також файли надісланих архівів, документів та інших.

При перемиканні на Режим Паролей(третя кнопка – зв'язка ключів) ви побачите облікові дані, захоплені з мережного потоку. Відображаються адреси сайтів, введені логіни та паролі.

Під час запуску програми відкривається Режим Сканування(Середня кнопка - радар). Це початковий режим початку атак: у цій вкладці відбувається сканування, вибір цілей, встановлення інших параметрів мережі.

Вкладка MiTM(зв'язування патч-кордів) містить поля для введення налаштувань цілі, багато з яких заповнюються автоматично під час сканування на вкладці Сканування. Також є кнопки для запуску різноманітних атак MiTM.

Вкладка DHCPмістить деякі налаштування мережі та DHCP сервера.

Режим RAW (сирий)виводить необроблену інформацію про дані, що передаються в мережевому потоці. Інформація подана у вигляді, схожому на .

Підказки щодо використання Intercepter-NG та вирішення проблем:

Для роботи Intercepter-NG потрібен WinPcap, але не потрібно встановлювати окремо, оскільки Intercepter поставляється з портативною версією WinPcap.
Якщо ви не бачите свій адапетр у списку адптерів, це означає, що WinPcap не підтримує карту.
Якщо з WiFi картою нічого не працює, навіть ARP травлення, то використовуйте іконку NIC, яка знаходиться зліва від списку адаптерів, щоб переключитися на режим WiFi. Також переконайтеся, що Stealth IP має доступ до Інтернету.
У деяких рідкісних ситуаціях BFE (Base Filtering Engine) може блокувати локальні порти Intercepter. Це виявляється так: ARP працює, але інші функції MiTM не працюють (Windows 7 і вище). Антивіруси, такі як Avast, також можуть блокувати їх, навіть якщо мережевий захиствимкнена в панелі керування. Ще однією причиною такої поведінки може бути одночасна робота WiFi з'єднання та служби Internet Connection Sharing.
Intercepter підтримує 802.11 інкапсуляцію, тому ви можете використовувати дампи pcap з програм і . Також підтримуються інкапсуляції PPPoE, GRE(PP2P) та додаткові заголовки 802.11. Це не означає, що Intercepter може аналізувати зашифровані дані, це означає, що Intercepter здатний очищати ethernet\ip заголовки з пакетів цього виду та аналізувати їх.
Через обмеження протоколів, у вкладці повідомлень чату можуть не відображатися джерело та пункт призначення UIN\MAIL\….
Щоб скопіювати дані з таблиці паролів, клацніть на рядок і натисніть ctrl+c.
Щоб сховати вікно програми, використовуйте клавіші Ctrl+Alt+S. Натисніть знову, щоб вікно знову з'явилося.
Intercepter можна запускати навіть на win9x (98 та 95!), але вам потрібно встановити WinPcap 3.1 або WinPcap 4.0beta2. Нові збирання WinPcap не підтримують win9x.
Консольний режим для офлайн аналізу:

./intercepter -t dump.cap

Для активації автоматичного сніфінгу вам потрібно відкрити settings.cfgта відредагувати " autorun". Значення за замовчуванням - 0 , змініть номер інтерфейсу, який ви збираєтеся зниффити.
Intercepter конвертує дампи pcap з інкапсульованими сирими IP даними в Ethernet інкапсуляцію (додаючи інформацію заголовків ethernet).
Intercepter може читати новий формат - pcapng. Оскільки всі файли захватів pcapng із Wireshark використовують лише тип “Enhanced Packet Block”, то Intercepter підтримує лише цей тип пакетних блоків. Додатково він показує коментарі до пакетів.
У сирому (RAW) режимі ви можете встановлювати власні правила з використанням фільтрів pcap для фільтрації трафіку. Подробиці шукайте у синтаксисі pcap фільтрації. Приклад:

port 80

означає отримувати лише пакети з tcp порту 80 з ядра.

Not port 80

означає виключити пакети з порту 80

Ви можете комбінувати правила:

Port 80 and not port 25

Не слід працювати з величезними дампами в сирому режимі, оскільки Intercepter завантажує кожен пакет у пам'ять і не використовує жорсткий диск як розділ (файл) підкачування.

Підказки щодо опцій Intercepter-NG

Опції сніфера:

Якщо ви збираєтеся проводити офлайн аналіз pcap дампа, то для прискорення процесу зніміть галочку з “ Resolve Hosts”.
Якщо поставити галочку на опції " Lock on Tray", то при відновленні вікна з трею у вас буде запитувати пароль. Паролем за замовчуванням є" 4553 Ви можете змінити його у файлі settings.cfg. Пароль кодується base64.
Опція " Save Session" означає, що Intercepter збереже всі отримані пакети файл pcap. Цей файл можна використовувати для офлайн аналізу даних. Це свого роду функція експорту результатів.
Якщо встановити Promiscuous, то Intercepter відкриває мережевий адаптер у нерозбірливому (promiscuous) режимі. Це означає, що він читатиме всі пакети, навіть ті, які не призначені для даного мережного інтерфейсу. Якщо галочка знята, він зчитуватиме лише пакети, які відправлені зазначеному інтерфейсу. Деякі карти Wi-Fi не підтримують цей режим.
“Unique Data” – показувати лише унікальні логіни та паролі. Тобто. показувати захоплені логіни та паролі лише один раз — якщо користувач ввів той же логін та пароль знову, він не відображатиметься.
Autosave- вся текстова інформаціязберігатиметься кожні 10 секунд.
За замовчуванням стоїть галочка на “ Grid View”. Вона означає, що паролі будуть виглядати як сітка даних. Щоб переглянути повну детальну інформацію, зніміть галочку з “ Grid View”.
eXtreme.У типовому робочому процесі сніфер аналізує певні порти асоційовані зі специфічними протоколами. Якщо ми говоримо http, ми маємо на увазі 80 порт (або 8080 або які там зумовлені у списку портів асоційованих з http протоколом). Тобто. будуть проаналізовані лише ці порти. Якщо деякі програми використовують інший порт, наприклад, 1234, тоді сніффер не аналізуватиме пакети, які проходять через нього. В режимі eXtreme Intercepter аналізуватиме всі TCP пакети без перевірки портів. Тобто. навіть якщо якась програма використовує невизначений порт, сніффер все одно перевірятиме ці пакети. Хоча це уповільнює продуктивність (необхідно перевірити набагато більше портів ніж зазвичай) і може виявити неправильні дані або пропустити правильний протокол (6 наприклад, FTP і POP3 використовує той самий тип авторизації), він дає можливість знайти та перехопити цікаві дані на невизначених портах. Використовуйте цей режим на власний ризик, не дивуйтеся, якщо щось піде не так, коли eXtreme режим увімкнений.
"Capture Only" означає, що Intercepter буде тільки зберігати пакети у файл дампа без аналізу в реальному часі. Це корисно для збільшення продуктивності, коли ви захоплюєте багато мережевих даних.
Опція Resurrectionозначає включення режиму Resurrection, який реконструює файли даних, переданих в мережевому потоці.
IM Ports
HTTP. Асоційовані з HTTP порти, подробиці дивіться в описі опції eXtreme.
SOCKS
IRC\BNC

Опції атак людина-посередині (MiTM) у Intercepter-NG

У всіх атаках MiTM Intercepter використовує спуфінг (підміну) адрес ip\mac (опція Spoof IP\MAC). Якщо ви використовуєте Wi-Fi інтерфейс, ви повинні зняти галочку з цієї опції, оскільки 99% wifi драйверів не дозволяють відправляти пакети з підміненим mac. Хоча ви розкриваєте свою реальну адресу, ви хоч здатні виконувати будь-які атаки MiTM через wifi інтерфейс. Це краще ніж нічого. Замість вимкнення спуфінгу в налаштуваннях, використовуйте WIFI режим. Ви можете змінити показуваний mac в Експертному Режимі.
iOS Killerбула додана для iCloud, а також Instagram і VK. Ця функція (iOS Killer) скидає сесії вказаних програм та дозволяє перехопити повторну авторизацію.
Kerberos Downgrade
HSTS Spoofing. Обхід HSTS під час SSL Strip. Техніка обходу відносно проста, але саме в реалізації є певні складності, тому не варто чекати якихось особливих результатів. Розглянемо приклад на Яндекс Пошта із використанням браузера Chrome. Якщо зайти на ya.ru, то у правому верхньому куті буде https посилання «Увійти до пошти», з яким SSL Strip легко справляється. Далі відкриється форма авторизації, де методом POST передаються дані passport.yandex.ru. Навіть "стрипнувши" https авторизація відбудеться за SSL, т.к. хост passport.yandex.ru внесений до preloaded списку хрому. Для того щоб перехопити дані нам необхідно замінити ім'я хоста passport.yandex.ru на якесь інше, щоб браузер не виявив, що цей ресурс слід відвідувати строго по безпечному з'єднанню. Для прикладу можна замінити passport.yandex.ru на paszport.yandex.ru, у цьому випадку дані будуть відправлені у відкритому вигляді на змінене ім'я домену. Але т.к. такого домену - paszport.yandex.ru немає, то додатково потрібно зробити DNS Spoofing, тобто. клієнт при перетворенні paszport.yandex.ru повинен отримати у відповідь оригінальну адресу ip від passport.yandex.ru.

Ця процедура автоматизована і вимагає додаткового втручання користувача під час проведення атаки. Єдине, що потрібно так це попередньо скласти список замін у misc\hsts.txt. За замовчуванням є кілька записів для yandex, gmail, facebook, yahoo. Важливо розуміти, що дана техніка обходу не дозволить перехопити сесію або авторизацію, якщо користувач введе в браузері facebook.com, т.к. браузер одразу відкриє безпечну версію сайту. У такому випадку атака можлива тільки якщо посилання на facebook.com буде взято з іншого ресурсу, наприклад, при введенні facebook на google.com. З основних проблем у реалізації атаки можна відзначити непередбачувану логіку роботи сайтів зі своїми субдоменами та особливості web-коду, які можуть звести нанівець будь-які спроби обходу HSTS. Саме тому не варто додавати до списку будь-які сайти, навіть домени, присутні в Intercepter-NG за замовчуванням, мають свої особливості і працюють коректно далеко не завжди. Городити милиці під кожен ресурс зовсім не хочеться, можливо в майбутньому буде внесено деякі універсальні поліпшення, а поки що, як кажуть, as is. Ще один нюанс, в поточній реалізації для проведення DNS Spoofing"а необхідно, щоб DNS сервер знаходився не в локальній мережі, щоб була можливість бачити dns запити до шлюзу і відповідати на них потрібним чином.

IP Forward. Вмикає режим чистого IP форварда. У цьому режимі недоступні атаки MiTM, але він дозволяє почати arp травлення у ситуаціях, коли ви не можете використовувати Stealth IP. Це зазвичай необхідно, коли шлюз має білий список легітимних комп'ютерів у мережі, тому NAT не може правильно працювати.
Cookie Killer- обнуляє кукіз, тим самим змушуючи користувача повторно авторизуватися - ввести логін і пароль, щоб атакуючий міг їх перехопити. Функція Cookie Killer працює і для з'єднань SSL. Є чорні ( misc\ssl_bl.txt) та білі списки ( misc\ssl_wl.txt). У них можна виключити або навпаки жорстко вказати IP-адреси або домени, до яких слід або не застосовувати SSL MiTM. При вказівці extra ssl port немає потреби вказувати тип read\write, достатньо вказати номер порту. Весь трафік пишеться в ssl_log.txt.
Remote Capture (RPCAP). Libpcap дає можливість пересилати мережеві дані з одного хоста на інший через його протокол, названий RPCAP. Тобто. ви можете підняти демон rpcap на вашому шлюзі та бачити весь трафік, який через нього проходить. Після запуску демона, ви можете почати захоплювати віддалений трафік за допомогою Intercepter. Введіть ім'я хоста або IP демона в спеціальне поле і виберіть адаптер зі списку. Потім вам потрібно встановити фільтр “not host IP”, замінивши IP на дійсну IP адресу, присвоєний вашій ethernet карті (це потрібно для ігнорування rpcap трафіку між вами та демоном).
PCAP Over IP

Ця функція пов'язана з віддаленим захопленням трафіку і є чудовою заміною старого та проблемного сервісу rpcapd. Назва говорить сама за себе. Практично на будь-якому юнікс завжди присутній зв'язка tcpdump і netcat, за допомогою яких можна логувати трафік на віддалений комп'ютер-приймач. У цьому випадку Intercepter може відкрити порт в очікуванні потоку даних у форматі libpcap і в реальному часі проводити їх аналіз.

Немає жодної принципової різниці в джерелі трафіку, тому крім tcpdump"а можна точно так само використовувати утиліту cat для читання вже існуючого.pcap лога.

Ось кілька прикладів використання, за замовчуванням Intercepter слухає 2002 порт:

Tcpdump -i face -w - | nc IP 2002

якщо планується передача трафіку через той самий інтерфейс з якого ведеться захоплення, необхідно додати правило фільтрації, що виключає службовий трафік між сервером і Intercepter:

Tcpdump -i face -w - not port 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i face -P -w - | nc IP 2002

це аналог tcpdump"а, що входить до складу . Прапор -Pвказує на те, що слід зберігати пакети в стандартному форматі libpcap, а не новий pcapng.

Альтернативний спосіб перенаправлення пакетів без допомоги netcat:

Tcpdump > /dev/tcp/ip/port

WPAD означає «WebProxy Autodiscovering Protocol», який відповідає функції «Automatically detect settings» у сучасних браузерах. Ця функція дозволяє браузеру отримувати поточну конфігурацію проксі без втручання користувача. Це навіть сьогодні є загрозою і атакуючий може легко налаштувати шкідливий сервер для перехоплення веб-трафіку. Ситуація посилюється тим, що Internet Explorer(і Chrome також) підтримує цю функцію за промовчанням.

Зазвичай WPAD не налаштований у мережі, тому звичайна поведінка браузерів полягає у надсиланні запитів NetBios для імені WPAD (пропускаючи методи DHCP і DNS). Якщо відповіді не отримано, браузер просто використовує пряме з'єднання. Але якщо відповідь отримана, браузер намагається завантажити конфігураційний файл з http: /ip_of_wpad_host/wpad.dat.

Intercepter-NG відповість на кожний запит і попросить клієнтів використовувати його власну конфігурацію, щоб він міг зменшити трафік через проксі-сервер. Ви можете настроїти конфігурацію будь-якого іншого проксі-сервера в мережі або просто вибрати вбудований проксі-сервер. Вбудований проксі-сервер дозволяє використовувати функцію впровадження HTTP.

Опції експертного режиму Intercepter-NG

SSL Strip Timeout (seconds)- Тайм-аут у секундах SSL Strip
ARP Poison every (seconds)- Робити ARP травлення кожні … секунд
ARP Scan Timeout (seconds)- Тайм-аут ARP сканування
DNS Cache TTL (seconds)— Час життя в DNS кеші
Spoofing MAC— Адреса MAC, на яку підмінятиметься адреса атакуючого
MySQL LOAD DATA Injection
LDAP Relay DN: DC=xxx,DC=xxx
Stop injiction on NBNS Request
Drop SSH connection after auth— Скинути SSH підключення після авторизації
SMB Hijack -> SMB Relay
Auto ARP Poison— У режимі автоматичного пойзона достатньо внести лише 1 хост до списку цілей, а Intercepter сам скануватиме мережу з певним інтервалом і автоматично додаватиме нові цілі.
Reset ARP Table— Скинути таблицю ARP
Custom payload for SMB Hijack (64kb max)
Custom payload for GP Hijack
Run Shell- Запустити шелл
Run HTTP NTLM Grabber

Види сканування

Сканування є першою стадією, т. Е. Багато MiTM атаки починаються з нього. Щоб показати меню сканувань, перейдіть на вкладку MiTM Modeта натисніть праву кнопку миші на таблиці.

Smart Scanning: воно комбінує ARP сканування та виявлення шлюзу. До звичної інформації про IP і MAC адреси, виробника мережевої карти та операційну систему, робиться висновок імені комп'ютера. За той же проміжок часу тепер додатково можна дізнатися про ім'я Netbios або назву пристрою під керуванням iOS. Для резольва останнього використовується протокол MDNS, на основі якого працює Apple"івський протокол Bonjour. Всі отримані імена тепер зберігаються в кеш-файл і якщо при наступних скануваннях з якоїсь причини інформація про ім'я хоста не була отримана динамічно, вона буде взята з кеша У додатку це сканування показує Stealth IP і автоматично встановлює у відповідних полях у вкладці MiTM IP шлюзу (якщо він був виявлений) і Stealth IP, також виконується виявлення ОС на основі TTL значень.
ARP Scanning(ARP сканування): просто перевіряє підмережу C-класу призначену на вибраний ethernet адаптер. Наприклад, якщо ваш IP це 192.168.0.10, то буде перевірено 255 IP-адрес в діапазоні 192.168.0.1-255. Починаючи з версії 0.9.5 програма перевіряє мережну маску для правильного сканування всіх підмереж.
DHCP Discovering(виявлення DHCP): надсилає широкомовні повідомлення DHCP-Discovery і чекає відповіді від DHCP серверів. Якщо якісь сервери відповідають, додає їх до списку.
Promisc Detection(виявлення мережевих карту нерозбірливому режимі): відправляє до мережі спеціальні ARP запити. Хости, що відповідають, очевидно є сніфферами. Також можуть відповідати деякі ethernet карти (3COM), тобто можливі помилкові спрацьовування.
Gateway Discovering(виявлення шлюзу): відправляє SYN пакет через всі хости в мережі, якщо є шлюз, назад буде надіслано відповідь.

Техніки атак людина-посередині (MiTM) у Intercepter-NG

При натисканні на кнопку Configure MiTMs(капелюх з оком) відкривається діалогове вікно MiTM Attacks:

Воно містить перелік підтримуваних технік.

SSL MiTM

Є старою класичною технікою заміни сертифікатів. Дозволяє перехоплювати дані будь-якого протоколу, захищеного за допомогою SSL. Стандартно підтримуються: HTTPS, POP3S, SMTPS, IMAPS. Опційно можна вказати будь-який додатковий порт.

При перехопленні HTTPS, сертифікати генеруються «на льоту», копіюючи оригінальну інформацію із запитуваного ресурсу. Для решти випадків використовується статичний сертифікат.

Звичайно, при використанні даного функціоналу неминучі попередження браузера та іншого клієнтського програмного забезпечення.

У новій версії було повністю переписано код для SSL MiTM. Тепер він працює швидко та стабільно. Також змінився алгоритм генерації сертифікатів, в них стали додаватися додаткові записи dns і всі сертифікати підписуються єдиним ключем ( misc\server). Це означає, що додавши цей самопідписаний сертифікат до списку довірених на комп'ютері цілі, можна буде прослуховувати трафік SSL до будь-якого ресурсу (де немає SSL Pinning). Функція Cookie Killerтепер працює і для з'єднань SSL. З'явилися чорні ( misc\ssl_bl.txt) та білі списки ( misc\ssl_wl.txt). У них можна виключити або навпаки жорстко вказати IP-адреси або домени, до яких слід або не застосовувати SSL MiTM. При вказівці extra ssl port більше немає потреби вказувати тип read\write, достатньо вказати номер порту. Весь трафік пишеться у ssl_log.txt.

SSL Strip

SSL Strip - "тиха" техніка для перехоплення HTTPS з'єднань. Довгий часробоча версія існувала тільки під unix, тепер такі дії можна проводити і в середовищі NT. Суть у наступному: атакуючий знаходиться «посередині», аналізується HTTP трафік, виявляються всі https:// посилання та проводиться їх заміна на http:// Таким чином клієнт продовжує спілкуватися із сервером у незахищеному режимі. Всі запити на замінені посилання контролюються та у відповідь доставляються дані з оригінальних https джерел.

Т.к. ніяких сертифікатів не підмінюється, то й попереджень немає. Для імітації безпечного з'єднання здійснюється заміна іконки favicon.

DNC<>ICMP

Це зовсім нова техніка, що раніше згадується або не реалізована. Вона ґрунтується на тому ж старому ICMP Redirect MiTM, але відкриває новий спосібдля сніфінгу даних. Перший крок цієї атаки схожий на класичний ICMP редирект, але є одна важлива відмінність.

Так званий новий запис - це DNS сервер жертви. Ми збираємося захопити контроль над усіма запитами DNS і зробити деяку магію перед тим, як жертва отримає відповіді.

Коли ми перетворюємо (резолвімо) somehost.com, DNS надсилає нам відповідь, що містить одну або більше відповідей з IP somehost.com. Більше того, він може містити «додаткові» відповіді, і ми збираємось подбати також і про них. Після завершення першої частини атаки жертва починає відправляти всі DNS запити через хост атакуючого (NAT). Коли NAT отримує відповідь від DNS, він зчитує всі IP, а потім відправляє жертві повідомлення ICMP редиректа з перетвореним IP.

Таким чином, до моменту, коли NAT відправляє DNS відповідь назад жертві, його таблиця маршрутизації вже має записи для всіх перетворених адрес, які вказують на наш хост!

Це означає, що ми скинімо не тільки DNS жертви, але все, що було перетворено. Весь трафік спуфіт через підроблений IP\MAC.

Ця частина атаки виконується на стороні NAT, тому ви повинні його правильно налаштувати.

Поставте галочку в "DNS over ICMP", потім заповніть:

Router's IP - це IP шлюзу за умовчанням, що використовується жертвою.
Client's IP - це IP жертви. Ви можете додати кілька цілей, але не забудьте почати з відправки з Intercepter пакету ICMP редиректу кожної мети.

Після додавання клієнтів, ви повинні помістити вільний/невикористовується IP в полі «New Gateway» і в «Stealth IP».

Виберіть адаптер, вони повинні бути такими ж, оскільки ми збираємося маршрутизувати трафік в одній ethernet області.

Запустіть NAT.

Всі DNS відповіді зберігаються в спеціальному списку і NAT регулярно (відповідно до часу, встановленого в налаштуваннях) повторно надсилає ICMP редиректи,

В кінці вам потрібно зробити ще одну дію. Ви не можете виконати "лікування" таблиці маршрутизації жертви (як при ARP травленні), тому ви повинні зняти галочку з "DNS ↔ ICMP" для запобігання повторному відправленню ICMP редиректів і чекати приблизно 10-15 хвилин. Після цього нові записи не додаватимуться, але старі будуть чудово працювати через NAT, доки не закінчиться термін дії.

WPAD MiTM

Подробиці дивіться до опису опції WPAD Configuration (PROXY:PORT).

SMB Hijack

SSH MiTM

Ви можете перехопити дані аутентифікації SSH (логін/пароль) і бачити всі команди, що проходять під час віддаленої сесії. Підтримується 2 механізми аутентифікації: за паролем та інтерактивна. Для сніфінг даних жертви нам необхідно діяти як справжній sshd і ми надаємо наші власні ключі rsa/dsa. Якщо оригінальний ключ хоста кешується жертвою, з'явиться повідомлення з попередженням, якщо не кешується, то на клієнтській стороні не буде жодних ознак атаки.

Коли жертва залогинілася, вона може працювати як завжди, виконувати команди та псевдографічні програми, такі як midnight commander. Intercepter перехоплює запити WINDOW_CHANGE, отже якщо жертва вирішить змінити розмір вікна, все буде коректно перемальовано відповідно до нового розміру вікна.

Програма працює з віддаленим сеансом, але не працює із SFTP. Якщо жертва запустить SFTP клієнт, дані автентифікації будуть перехоплені, але з'єднання буде відкинуто і позначено. Потім, коли жертва спробує знову підключитися, вона отримає доступ до оригінального сервера ssh крім нашого фальшивого sshd.

Необхідно згадати, що атакуючий входить на віддалений сервер і залишає його адресу IP в логах. В експертному режимі можна вибрати опцію відкидати ssh з'єднання після отримання облікових даних жертви. З'єднання буде позначено, і за наступної спроби програма дозволить доступ до оригінального серверу.

GP Hijack

Додаткові можливості при атаках людина-посередині (MiTM) у Intercepter-NG

Кнопки для використання цих можливостей також розташовані у розділі MiTM Options(кубики, символ JDownloader, шприц, щит і символ радіаційної небезпеки, що окремо стоїть):

Traffic Changer (зміна текстових даних у потоці мережного трафіку)

Можна змінювати дані лише рівного розміру, не змінюючи довжину пакетів. Допустимо браузер відкриває site.com/file.txt, в якому міститься рядок "12345". У відповідь на GET запит сервер поверне HTTP заголовок, в якому буде вказана довжина даних, що передаються - Content-length: 5. Що буде якщо ми замінимо «12345» на «12356»? Браузер скачає лише 5 байт, відкинувши додану «6», а якщо ми зменшимо розмір даних, замінивши «12345» на «1234», браузер отримає лише 4 байти і чекатиме від сервера ще 1 байт доти, доки з'єднання не розірветься по таймауту. Саме тому зроблено це обмеження на розмір. Міняти можна як текстові дані так і бінарні, синтаксис для бінарних патернів як в Сі - "x01x02x03".

Якщо потрібно підміну в HTTP трафіку, то в налаштуваннях необхідно увімкнути опцію "Disable HTTP gzip encoding".

Spoofing

Спуфінг (Spoofing) дозволяє перенаправляти хости на заданий IP. Підтримуються протоколи DNS, NBNS, LLMNR.

З DNS ви можете вказати маску, щоб перенаправляти також всі піддомени. Зазвичай встановлюються пари domain.com:IP, але субдомени не будуть спуфлені. Для перенаправлення їх усіх додайте * (зірочку) перед ім'ям домену: *host.com

Forced Download та JS Inject

Як ви розумієте, у форсоване завантаження можна додати файл i.exe з довільним вмістом, причому джерелом цього файлу буде сайт, який в даний момент відвідує користувач. Знаючи, що мета збирається відкрити adobe.com, ви можете видати flashplayer.exe, і як джерело цього файлу буде вказано adobe.com або один із його субдоменів.

Після одноразової видачі форсування відключається, для повторного інжекта потрібно знову натиснути на відповідну галку.

Режим FATE поєднує дві нові функції: FAke siTE і FAke updaTE.

Ключовою метою FAke siTE є отримання авторизаційних даних з будь-якого веб ресурсу, в обхід SSL та інших механізмів захисту. Досягається це клонуванням сторінки авторизації та створенням шаблону, який розміщуватиметься на вбудованому псевдо-веб сервері. За замовчуванням до складу інтерцептера входить один шаблон accounts.google.com, т.к. оригінальна сторінка вимагає заповнити послідовно поле з логіном, а потім з паролем. У цьому шаблоні внесено невеликі зміни, щоб обидва поля були активними одночасно. Перед атакою необхідно вказати домен, на якому розміщуватиметься шаблон. Після початку атаки, трафік мети інжектиться редирект на обраний домен і згодом інтерцептер автоматично проводитиме DNS спуфінг на необхідні адреси. У результаті браузері відкриється обрана сторінка авторизації.

Функціональність FAke updaTE (фальшиві оновлення) означає появу повідомлень про встановлене у «жертви» програмне забезпечення та завантаження ніби файлу оновлення, до якого додано корисне навантаження. Список підтримуваного софта дуже скромний. За бажання можна додавати свої шаблони, їх структуру можна переглянути в misc\FATE\updates.

ARP Poison (ARP травлення)

Є частиною класичної атаки людина посередині. Ця атака починається зі сканування хостів. Коли хости виявлені і деякі з них обрані як ціль, то починають ARP травлення, в результаті якого хости, що атакуються, починають пересилати свій трафік не шлюзу, а атакуючому. Атакуючий вивчає (сніфіт) цей трафік, виконує інші маніпуляції та відправляє його цільовому серверу. Цільовий сервер відповідає атакуючому (як джерелу запиту), цей трафік також скинеться, модифікується та пересилається жертві. У результаті жертви немає значних змін — вона нібито обмінюється даними з віддаленим сервером.

Додаткові функції Intercepter-NG

Кнопки для запуску додаткових функцій розташовані в окремій секції правого стовпця у вікні програми:

У Intercepter-NG з'явився свій мережевий сканер, який замінив примітивному сканеру портів з минулих версією. Основні його функції:

Сканувати відкриті порти та евристично визначати такі протоколи: SSH, Telnet, HTTP\Proxy, Socks4\5, VNC, RDP.
Визначати наявність SSL на відкритому порту, читати банери та різні веб-заголовки.
При виявленні проксі або соксу перевіряти їх відкритість назовні.
Перевіряти безпарольний доступ до серверів VNC, перевіряти SSL на HeartBleed. Читати version.bind у DNS.
Перевіряти на базі наявність скриптів на веб-сервері, потенційно вразливих до ShellShock. Перевіряти по базі список директорій та файлів на 200 OK, а також список директорій із robots.txt.
Визначати версію ОС через SMB. За наявності анонімного доступу отримувати локальний час, uptime, список загальних ресурсів та локальних користувачів. Для знайдених користувачів запускається автоматичний перебір паролів.
Визначати вбудований список користувачів SSH через замір часу відгуку. Для знайдених користувачів запускається автоматичний перебір паролів. Якщо енумерація не дала результату (не працює на всіх версіях), перебір запускається тільки для root.
Автоматичний брутфорс для HTTP Basic та Telnet. З огляду на особливості telnet протоколу можливі помилкові спрацьовування.

Для більш точного результату одночасно можна сканувати тільки 3 хоста. Буквально в останній момент були додані перевірки на дані з SSL сертифікатів, наприклад, якщо зустрічається слово Ubiquiti і при цьому відкрито 22 порт, то автоматично запускається брутфорс SSH користувача ubnt. Те саме для пари Zyxel залізок з користувачем admin. Для першого релізу сканера функціоналу достатньо, і він непогано налагоджений.

HeartBleed Exploit

Тестує, чи вразлива мета до HeartBleed. Якщо ціль уразлива, то експлуатує цю вразливість — отримує частину вмісту оперативної пам'яті віддаленого хоста.

Bruteforce Mode

Підтримується атака грубою силою (брут-форс, повний перебір) для наступних мережевих протоколів:

POP3 TLS
SMTP TLS
HTTP Basic
HTTP Post
TELNET
VMWARE

Можна задати кількість потоків, в яку перевірятимуться облікові дані.

При виникненні таймууту, активний тред перезапускається з того самого місця і процес перебору триває.

Є Single Mode, який вказує на те, що кожну нову пару логін: пароль слід перевіряти з установкою нового з'єднання, для деяких протоколів це дозволяє збільшити швидкість роботи. Лог роботи зберігається в brute.txt.

ARP функції

Крім ARP травлення та ARP сканування, є кілька інших функцій, пов'язаних із протоколом ARP. Дві з них винесені в окремі кнопки правого стовпця у вікні програми:

ARP Watch: будована персональна служба спостереження за ARP Потрібно почати з виконання ARP сканування для заповнення списку довірених (чистих) MAC адрес. Якщо хтось спробує труїти ваш arp кеш, з'явиться повідомлення з попередженням.
ARP Cage: ізолює цільову IP-адресу від інших локальних хостів за допомогою спуфінгу записів arp таблиці.

Приклади запуску Intercepter-NG

Як запустити MiTM в Intercepter-NG

Почніть із вибору мережного адаптера ( Network Adapter):

Клацніть правою кнопкою по порожній таблиці та виберіть Smart Scan:

Буде відображено список цілей:

Додайте потрібні як цілі ( Add as Target):

Для початку сніфінгу натисніть відповідну іконку:

Перейдіть на вкладку MiTM mode(це глобус з патч-кордами) та натисніть іконку ARP Poison(Символ радіаційної небезпеки):

У вкладці Password Mode(символ - зв'язка ключів), з'являтимуться захоплені облікові дані:

Робота з Wi-Fi та робота з Ethernet

При роботі з Wi-Fi або дротовими з'єднаннями відсутні будь-які відмінності, але вам потрібно переключитися на потрібний режим.

Офлайн аналіз pcap файлів захоплення

Існує багато опцій, які можуть уповільнити або прискорити час аналізу.

Для початку, якщо вам потрібно прочитати великий файл.pcap, відключіть опцію " Resolve".
Якщо ваш .pcap містить великі файли та Resurrection включена, швидкість може впасти. Рішенням є встановлення ліміту на максимальний розмір файлу для відновлення.
Якщо вам не потрібно щось реконструювати, тоді в налаштуваннях вимкніть цю опцію. Швидкість збільшиться.
Якщо вам потрібно проаналізувати лише специфічний протокол, наприклад, ICQ\AIM або лише HTTP, то встановіть відповідний фільтр. pcap filter" з RAW MODE: tcp port xxx, де xxx- Це номер порту вашого протоколу.
Ви можете завантажити більше одного захоплення для аналізу. У Open DialogВиберіть кілька файлів, всі вони будуть проаналізовані по черзі.

Встановлення Intercepter-NG

Встановлення в Linux Kali

Для встановлення та запуску Intercepter-NG в Kali Linuxвиконайте такі команди:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz sudo apt install libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump:i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine sudo c. dll.so /usr/lib/i386-linux-gnu/wine rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/ sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Завантажити 0 і видаляємо dll файли wpcap.dll і Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip unzip Intercepter- NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe

Встановлення у Windows

Для встановлення Intercepter-NG у Windows перейдіть на та завантажте відповідний архів (без букв CE). Програма не потребує встановлення, достатньо розпакувати архів та запустити файл .exe.

Встановлення в Android

Для встановлення Intercepter-NG в Android перейдіть на та завантажте файл apk. Для успішного запуску програми потрібні root-права.