Intercepter — легендарный сниффер от Ares

hacking tools

Сегодня речь пойдет о легендарном сниффере Intercepter. В этой статье вы узнаете о возможностях этого сниффера. Кроме этого вы узнаете о том, как пользоваться Intercepter, и о видах атак, которые можно реализовать с его помощью.

Данный материал предназначен для продвинутых пользователей, так как содержит огромное количество терминологии и для понимания требует большого багажа знаний.

Вас также может заинтересовать статья «Обнаружение хостов сети в Nmap».

Intercepter

Содержание

  • Предисловие
  • Уникальность Intercepter
  • Новые возможности
  • Коротко о 0x4553-Intercepter
  • Использование Intercepter
    • Атака DHCP MITM
    • Атака ICMP Redirect MITM и DNS over ICMP MITM
    • Атака SSL MITM
    • Атака SSL STRIP
  • Видео лекции разработчика сниффера Intercepter
Статья носит исследовательский характер. Предназначена для специалистов в области информационной безопасности (пентестеров). При ее написании использовалась общедоступная информация. Применение описываемых техник или методик, или их частей в противозаконных и противоправных действиях строго запрещается. Соблюдайте законодательство!

Сниффер Intercepter

В чем уникальность Intercepter?

Достойных снифферов с таким огромным багажом реализованных атак под Windows почти нет. На то есть несколько причин. Основная проблема заключается в отсутствии штатных инструментов маршрутизации.

Если в каждом Unix’е есть средства типа iptables, при помощи которых можно без труда добавить необходимые правила перенаправления пакетов, то в Windows, а тем более в ее клиентских версиях, ничего подобного нет. Естественно, писать свой NAT (или упрощенный ip forwarder) ради какого-то единичного примера мало кто станет.

Различные техники под Windows представлены, как правило, в виде простеньких proof of concept и не более. Впрочем, чего таить, и под unix сложно найти что-то похожее на Intercepter. Тот же самый ettercap под unix состоит из различных приложений: одно отвечает за arp-спуфинг, другое — за грабинг паролей, а sslstrip и вовсе самостоятельное приложение. Все это требует ручной настройки из-под консоли.


Получается, что и под unix, даже при всей мощи доступных инструментов, нет ни одного достойного GUI-приложения, которое совмещало бы в себе все сразу. Intercepter же является таким инструментом и содержит в себе целый набор оттестированных и законченных техник сетевых атак.

Intercepter

К примеру, недавно реализованные техники SSL MITM и SSL Strip для перехвата паролей, которые должны бы передаваться по защищенному соединению, могут использоваться с любым из имеющихся MITM’ов: ARP, ICMP, DNS over ICMP, DHCP. Во всех случаях используется скрытная маршрутизация через не существующие в сети IP  и MAC-адреса, таким образом, жертвы не смогут определить источник нападения.

Сегодня мы не будем останавливаться на базовом функционале сниффера, а коснемся самого сочного — новых техник, которые недавно появились в 0x4553-Intercepter.

Новые возможности Intercepter

Последний раз Intercepter обновлялся чуть больше года назад. Тогда-то и было создано основное подспорье для различных MITM-атак.

С версии 0.8 в состав Intercepter добавился так называемый 0x4553-NAT. Это полноценный NAT, не требующий установки и занимающий пару сотен килобайт, которым можно раздавать интернет в небольших локальных сетях или дома. Он поддерживает трансляцию пакетов из ethernet в PPPoE-соединение ADSL-модема и трансляцию FTP-сеансов.

Помимо этого была реализована давно задуманная атака на сети с DHCP — DHCP MITM. И вот сейчас, спустя долгое время, вышло еще несколько довольно крупных обновлений, реализующих новые интересные техники атак:

  1. ICMP Redirect MITM. Эта малораспространенная техника перехвата трафика имеет довольно узкое применение, позволяя перехватывать данные между единичными хостами.
  2. DNS over ICMP MITM. Совершенно новая техника, раскрывающая весь потенциал ICMP Redirect. Перехватывая клиентский DNS-сервер, мы можем перехватить все соединения с хостами, которые были отрезольвены через DNS.
  3. SSL MITM. Классическая техника подмены сертификатов, позволяет перехватывать данные любых протоколов, защищенных при помощи SSL (поддерживаются SSLv2, SSLv3, TLSv1).
  4. SSL Strip. Практически не встречающаяся техника под Windows. Аналог известного sslstrip под unix.

Каждая из этих техник заслуживает внимания, но начать я хочу с описания атаки DHCP MITM, которая появилась еще год назад.

Коротко о 0x4553-Intercepter

  • Перехватывает пароли и хэш-суммы для огромного количества сервисов: ICQ/IRC/AIM/FTP/IMAP/POP3/SMTP/LDAP/BNC/SOCKS/HTTP/WWW/NNTP/CVS/TELNET/MRA/DC++/VNC/MYSQL/ORACLE.
  • Перехватывает сообщения большинства известных мессенжеров:
    ICQ/AIM/JABBER/YAHOO/MSN/GADU-GADU/IRC/MRAl.
  • Реконструирует SMTP/POP3 сообщения.
  • Сканирует локалку на наличие живых узлов с помощью широковещательной рассылки ARP-запросов (ARP SCAN).
  • Ищет в сети DHCP-серверы (DHCP DISCOVERY).
  • Находит в локалке другие сниферы (PROMISCUOUS SCAN).
  • Поддерживает подмену MAC-адреса для LAN-адаптеров.
  • Может работать в режиме «экстремального» сканирования (eXtreme mode), при котором сниферу достаточно указать целевой протокол без специфицирования порта. 0x4553-Intercepter будет просматривать весь трафик, автоматически «вылавливая» пакеты, относящиеся к данному протоколу путем анализа их содержимого.
  • Поддерживает RAW-режим.
  • Выполняет удаленный снифинг трафика через RPCAP-демона, устанавливаемого на Linux/xBSD или Windows-узлах (предпочтительнее всего — на шлюзе).
  • Включает в себя собственную реализацию NAT.
  • Реализует несколько MITM-атак: ARP MITM, DNS over ICMP MiTM, DHCP MiTM.
  • Перехватывает SSL-пароли через SSL MiTM + SSL Strip.

Атака DHCP MITM

Суть атаки проста как пять копеек. Существуют различные схемы поведения DHCP-клиентов. Мы рассмотрим классический вариант. Когда компьютер входит в сеть, он шлет сообщение DHCP Discovery, требуя выдать IP-адрес и выслать действующую конфигурацию сети, включая шлюз по умолчанию. Наша задача — выдать поддельный ответ DHCP Offer, в котором будет указана наша конфигурация с нашим шлюзом. Так трафик пойдет через наш NAT и мы сможем беспрепятственно его слушать. Данная атака вскользь описана в теории, реализована в ettercap, улучшена и автоматизирована в 0x4553-Intercepter. Для проведения атаки пришлось решить ряд сложных вопросов:

1. Неизвестность количества существующих компьютеров в сети и их привязка к IP-адресам. Может привести к проблемам в сети и истощению DHCP-пула.

2. Борьба за первенство с легитимным DHCP-сервером.

3. Возврат контроля над жертвой, уведенной легитимным сервером.

Вся магия кроется в решении этих проблем.

1. Чтобы не порождать проблемы в действующей сети, мы перенаправляем всех клиентов в виртуальную сеть, отделенную от действующей. Для поддержания связи с реальной сетью и внешними ресурсами во всей красе раскрывается 0x4553-NAT, регулирующий маршрутизацию.

2. Благодаря ряду тестов было выявлено, что DHCP-сервер в Intercepter с использованием WinPcap работает быстрее других. Он оказался быстрее DHCP-службы Windows Server 2003, быстрее популярного приложения tftpd32 и быстрее DHCP-серверов, встроенных в ADSL-модемы. Помимо этого, DHCP в Intercepter пропускает целый шаг согласования параметров во время передачи конфигурации клиенту, что существенно повышает скорость реагирования и выдачи ложной информации.

3. Возможна ситуация, что легитимный DHCP-сервер все-таки ответит быстрее нас. Такая ситуация была искусственно создана. И для ее решения предприняты дополнительные действия. После принятия конфигурации клиент должен еще раз перепроверить, не занял ли он чей-то адрес в сети, чтобы избежать конфликта IP-адресов. Для этого он отсылает в сеть специальный пакет gratuitous arp. Если в сети уже имеется компьютер с таким адресом, клиент вновь пошлет DHCP Discovery с просьбой выделить другой адрес. Если же никаких ответов на запрос не пришло, значит, данный IP свободен. При потере клиента, Intercepter следит за пакетами gratuitous arp и отвечает клиенту, говоря, что запрошенный адрес занят, для того чтобы вновь вызвать голосование и попытаться успеть выдать ложную конфигурацию. Данная атака детально рассмотрена в видео Sniffing dhcp based network.

Атака ICMP Redirect MITM и DNS over ICMP MITM

Следующие две техники используют для атаки особенности ICMP-протокола. Не вдаваясь в технические подробности сути и назначения сообщений ICMP Redirect, отмечу, что эти ICMP-сообщения позволяют добавить запись в таблицу маршрутизации удаленного узла. В записи должен содержаться IP-адрес хоста и IP-адрес шлюза, через который следует слать пакеты к указанному ресурсу.

Например, зная, что некий site.com имеет адрес 1.2.3.4, мы можем послать жертве сообщение, в котором будет указано, что до 1.2.3.4 нужно идти через наш шлюз, где запущены Intercepter и NAT. Это и есть техника ICMP Redirect MITM. К сожалению, мы не можем перенаправить разом все хосты, поэтому данную атаку можно использовать для целевого перехвата конкретного узла. Однако в Intercepter реализована техника, которая позволяет сильно расширить область применения перехвата с помощью сообщений ICMP Redirect. Это DNS over ICMP Redirect.

Вместо site.com мы будем перенаправлять трафик от клиентского DNS-сервера. Цепная реакция запускается всего одним пакетом. Сначала мы шлем жертве сообщение, что до его DNS-сервера нужно идти через наш шлюз, затем в бой вступает 0x4553-NAT, который начинает обрабатывать DNS-ответы. Например, жертва хочет отрезольвить site1.com, — NAT перенаправляет запрос к серверу, принимает ответ и вытаскивает все IP-адреса, отвечающие за site1.com, после чего посылает жертве новые сообщения ICMP Redirect, говоря, что ко всем отрезольвенным IP-адресам нужно идти через наш шлюз. Если жертва посылает запрос к site2.com, ситуация повторяется. Таким образом, весь интернет-трафик начинает идти через Intercepter и NAT.

Правда, тут есть одно важное условие. Чтобы показать его, рассмотрим пример сетевой конфигурации жертвы:

При такой конфигурации перенаправить DNS-сервер мы не сможем. Он обязательно должен находиться за рамками данной подсети, — это обусловлено самим протоколом ICMP. А вот если используется напрямую внешний сервер (например, гугловский 8.8.8.8), то препятствий для атаки нет.

Атака SSL MITM

Эта атака описана множество раз, поэтому останавливаться подробно на ее описании мы не будем, а расскажем, как она реализована конкретно в Intercepter. Ядром всех MITM-атак в Intercepter, как мы уже говорили, является NAT. Именно он отвечает за маршрутизацию пакетов и дополнительные действия для реализации каждой из атак. Стандартно в него зашит перехват таких протоколов:

  • HTTPS — 443;
  • POP3S — 995;
  • SMTPS — 465;
  • IMAPS — 993.

После запуска 0x4553-NAT он открывает указанные порты на локальном интерфейсе и ждет входящих соединений. Весь трафик жертвы по указанным протоколам перенаправляется на ранее открытые нами порты. На этом этапе происходит следующее:

  • В случае HTTPS NAT принимает входящее tcp-соединение, делает запрос к запрашиваемому ресурсу и получает его сертификат. Затем он подменяет ключ шифрования на свой и устанавливает соединение с жертвой, выдавая себя за оригинальный сервер. После этого происходит проксирование данных между двумя соединениями.
  • Для других протоколов шаг запроса оригинального сертификата опущен, — вместо этого мы посылаем ранее сгенерированный статичный сертификат. Так как наши сертификаты не являются подписанными доверенными центрами, у пользователя будет выскакивать предупреждение. В этом и заключается основной минус данной техники.

Кроме приведенных выше протоколов, пользователь может добавить любой другой порт. О том, как это сделать, написано в руководстве к сниферу. Так как сама атака проводится при помощи NAT, то непосредственно Intercepter не видит зашифрованных данных. Чтобы он их увидел, NAT делает следующую хитрость: весь исходящий SSL-трафик дублируется в сеть в открытом виде, после чего пароли появляются в окне снифера.

Атака SSL STRIP

О технике SSL Strip мы уже подробно писали в  с этой статье. Собственно говоря, непосредственно с перехватом SSL эта техника не связана. Перехватывать необходимо обычный HTTP-трафик, анализируя его на https-ссылки. Возможно вы помните, сколько возни было, чтобы заставить эту схему работать под Unix, используя разработанную Мокси Марлинспайком утилиту sslstrip.

Все что нужно сделать в Intercepter для выполнения атак SSL Strip или SSL MITM, — это поставить соответствующую галочку и перенаправить трафик жертвы любым доступным способом. В данном случае весь веб-трафик перенаправляется на локальный 80-й порт, откуда и происходит дальнейшее проксирование соединений. Выполняя данную атаку, мы опять же сталкиваемся с рядом сложностей, которые необходимо преодолеть.

Расскажу об этом подробнее. Для начала нам элементарно нужно видеть входящий трафик в текстовом виде, иначе никаких ссылок мы не найдем. Все дело в том, что для снижения нагрузки и увеличения скорости передачи данных в большинстве случаев пакеты сжимаются такими алгоритмами как gzip или deflate. О возможности принимать такие пакеты веб-браузер сообщает серверу в соответствующем поле web-запроса. Первым шагом является модификация поля Accept-Encoding, после которого весь текст посылается в открытом виде. Также необходимо заменить безопасные куки, иначе возникнут трудности с установлением сессий, например на том же gmail. Ищем флаг Secure и заменяем его на HttpOnly.


Теперь можно заменять https-ссылки их небезопасным аналогом http. Далее при запросе измененного https-урла мы устанавливаем https-соединение с оригинальным ресурсом и проксируем данные между клиентом и сервером.

Чтобы сбить бдительность пользователя, Intercepter подменяет favicon, выдавая иконку с замочком, который имитирует безопасное соединение.

На данный момент Intercepter не убивает сессии для принудительной повторной авторизации, как это может делать оригинальный sslstrip, но такая опция будет, возможно, добавлена в будущем.

Еще можно выделить одно отличие данной реализации SSL Strip от ее unix-аналога. Оригинальный sslstrip работает как прокси, определяя куда производится соединение из заголовка web-запроса. Это вынуждает разрешать имя сервера через dns и хранить свой собственный dns-кеш. В нашем случае в этом нет необходимости, так как адрес назначения известен,— это 0x4553-NAT, который и осуществляет маршрутизацию трафика жертвы.

Вам может быть интересна статья «Скрытое сканирование хостов».

Скачать Intercepter можно с официальной страницы.

Видео-лекция разработчика сниффера Intercepter хакера Ares.

ВКонтакте
OK
Telegram
WhatsApp
Viber

32 комментария

  1. _Eret1k_ Спасибо! Классная штука!

    • вася

      Доброго времени суток у меня не работает на win 10.. Помогите

  2. miha

    Lenko, БОЛЬШАЯ просьба о помощи. Напиши на мыло пж-та. Очень нужна помощь. Тебе не составит труда помочь, судя по тематике и наполнению сайта. Спасибо!

    • Здравствуйте!
      Чем я могу помочь?

    • Vasya

      A kakoi parol ot arhiva ??

    • hedgehog

      мне тоже подскажите

    • Falcon

      Пароль на архив www.spy-soft.net

  3. Lenko, спасибо за быструю реакцию. Отправил свой запрос на ваш почтовик.

  4. Добавлена ссылка на новую, последнюю версию Intercepter-NG v0.9.5 + Intercepter-NG [Console Edition] 0.4

    • Sell

      Где можно увидеть как работать с программой?

  5. Referator

    А картинки где?

  6. Referator

    Также в архиве красивые обои на рабочий стол от Ares

    обман?

  7. Referator

    я ради картинок качал. а там нету их.

  8. Referator

    А нет)))) Всё есть. Просто во втором архиве нету. Спасибо вам ))

  9. Программа Intercepter-NG обновилась!
    Добавлена ссылка на последнюю, новую Intercepter-NG v0.9.8 версию. Плюс новые, очень классные обои на рабочий стол.

  10. Софа

    Ребята, помогите хочу своего парня вывести на чистую воду, подозреваю что он с девочками по веб-чату с видео общаеться, друзья помогли захватить трафик с его компьютера, а как теперь из него видео достать?

  11. Cackimacki

    Для андроида
    Intercepter-NG представляет собой многофункциональный сетевой инструментарий для различных типов ИТ-специалистов. Она имеет функциональность
    несколько известных отдельные инструменты и более того предлагает хороший и уникальный альтернативу Wireshark для андроида.

    • Anyone

      Кстати для андройда она не работает если у ломающего недоступен интернет!!!!!!!!!!!!!!!!

  12. Anonimous

    Запрашивает пароль для запуска, где взять пароль?

  13. Кто

    Вопрос тот же. Подскажите пароль чтобы открыть архив

    • Falcon

      Пароль ‘www.spy-soft.net’

  14. Сам

    Ребят у меня не видит адаптер, в списке он есть но там написано Disabled что делать?

  15. эндрю

    а есть версия на русском ?

    • Falcon

      Увы нет. При том, что разработчик наш земляк.

  16. Deadpool_MWTM

    Ребят,подскажите насчёт пользования,а то настроил по инструкции,решил проверить,но во-первых не сработал ни cookie killer ни IOS killer и совершенно никаких паролей не выдал,накидал каких то левых данных в Res и всё,если у кого будет время помочь со всем разобраться -буду очень благодарен.

  17. агент

    версия 1.0 уже есть тут почемуто приведены 0.9е

  18. I-rat

    Smart Scan не нажимается. Выдаёт предупреждение:
    This adapter can not be sniffed because:
    1. No IP assigned with it
    2. Some weird driver installed

  19. I-rat

    Проблема с Smart Scan решилась. Нужно было самостоятельно название адаптера вставить (изначально там не было). Поставил, нажал Smart Scan, появился внизу статус: Scanning, но после завершения сканирования ничего (в списке) не появилось

  20. I-rat

    После нажатия Smart Scan ничего не появляется

  21. Андрей

    Привет! Где взять пароль от архива?

  22. antoxa

    И что работает ?

  23. kzld

    Собственно ради Intercepter`a и затеял получение root (не только из-за него конечно, но всё таки из-за него)
    Смартфон xiaomi redmi 4x версия android 7.1.2 N2G47H сделал root при помощи программы Magisk (руководство взято _root-device.ru , не сочтите за рекламу)
    Установил Intercepter, запускаю.
    Выдаёт ошибку, длинный текст. что то связанное с java
    Прошу помощи с запуском Intercepter`a
    Какие еще сведения предоставить?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *