Pull to refresh

Обзор новых функций Intercepter-NG

Information Security *
Год ожиданий не прошел напрасно и он компенсируется достаточно интересными функциями, появившимися в новой версии инструмента. Релиз состоялся раньше намеченного срока и часть ранее планируемых функций в него не вошли из-за того, что появились куда более важные нововведения.

В новой версии присутствует ранее продемонстрированная атака на Active Directory (Ldap Relay), функция Java Injection, эксплоит для уязвимости HeartBleed, Plugin Detector, но заострить внимание я хотел бы на совсем других вещах.

В Intercepter-NG появился режим сетевого брутфорса паролей для целого ряда протоколов: FTP\IMAP\POP3\SMTP\SMB\SSH\LDAP\HTTP. Причиной создания подобного функционала в очередной раз стало отсутствие современного и функционального брутфорсера под Windows. Из нативных инструментов на ум приходит только Brutus, который не обновлялся уже более десяти лет и не поддерживает, к примеру, SSH. Все cygwin билды THC-Hydra собраны без поддержки SSH, а Ncrack, несмотря на заявленную поддержку SSH, ни в одном тесте так и не заработал. Конечно, при желании можно собрать Hydra самостоятельно, но в любом случае, что Hydra, что Ncrack, в своей основе являются консольными, а GTK версия Hydra опять требует дополнительной сборки. Поэтому создание современного оконного брутфорсера не было лишено смысла.

Как ни крути, на сегодняшний день THC-Hydra является самым прогрессивным инструментом для сетевого брутфорса с большим количеством поддерживаемых протоколов и способов авторизации. Никаких попыток посоревноваться с лидером изначально не предпринималось, но итоговые результаты получились весьма неожиданными, о них и поговорим…

Логично, что по завершению работы было любопытно сравнить скорость перебора в Intercepter и Hydra. Сначала планировалось добавить к сравнению и Ncrack, но т.к. в ряде тестов он пропускал валидную авторизацию, не работал с SSH, и в целом, по результатам других тестов был во всем медленней Hydra, было принято решение о его исключении. В сравнительной таблице для каждого протокола указано два значения занятого времени. Первое, более продолжительное значение, получено путем однопоточного перебора. У Hydra понятие «поток» именуется «задачей» (= task). Вторая цифра отображает лучшее полученное время при увеличении потоков до оптимального числа. Слепое увеличение потоков в 2-3-5 раз не дает аналогичного прироста производительности, т.к. каждая конкретная реализация сетевого сервиса имеет свои особенности, тем или иным образом, влияющие на скорость многопоточной работы и пригодности к брутфорсу. Тестирование проводилось на списке паролей из 2000 слов.

image

Как видно из таблицы, в случае с LDAP\SMTP\HTTP Intercepter и Hydra при многопоточном брутфорсе имеют одинаковые результаты, а в оставшихся FTP\POP3 Intercepter оказался быстрее. Вывод данного теста не в том, что Intercepter быстрее Hydra, а в том, что он как минимум не медленнее и подходит для решения соответствующих задач.

В протоколах FTP\IMAP\POP3\SMTP\LDAP поддерживаются стандартные plain-text алгоритмы авторизации. Благодаря тому, что Intercepter является нативным NT приложением, брутфорс SMB осуществляется при помощи системных API функций, без оглядки на различные способы авторизации (NTLMv1,v2, Kerberos). Для SSH реализована поддержка методов password и keyboard interactive, а для HTTP: Basic Auth и HTTP метод POST с указанием шаблона. Шаблон строится аналогичным Hydra способом. В нем необходимо указать имена переменных, передающихся на сервер, а так же ключевое слово, сигнализирующее о том, что авторизация не удалась, например 'Error' или 'Invalid'. В комплекте идет словарь на 10000 слов, а так же присутствует эвристический метод перебора. При его использовании задается ключевое слово, на базе которого генерируется небольшое количество производных вариантов. Во время съемки демонстрационного видео я произвольным образом вбил слово test в эвристический режим и на удивление программа сообщила, что пароль найден. Сначала подумал, что произошла ошибка, но оказалось, что пароль действительно рабочий и принадлежит какому-то тестовому аккаунту форума.

Другая знаменательная особенность новой версии заключается в том, что оригинальный Intercepter теперь можно запустить под Wine. Основная проблема сделать это раньше была вызвана тем, что Winpcap и Wine вещи несовместимые. Некоторое время назад был обнаружен так называемый wrapper, который транслировал вызовы функций winpcap в юниксовый libpcap. Чтобы все таки запустить Intercepter под линуксом пришлось допилить и сам wrapper и Intercepter, т.к. некоторые функции winpcap отсутствуют в libpcap, а некоторые имеют отличительную специфику под разными платформами.

image

К сожалению используемый способ маршрутизации трафика под Windows не дееспособен в линуксе, поэтому сложные MiTM'ы (sslstrip, ssl mitm, smb hijack, ldap relay, http injection) не работают, но работает arp poison, dhcp mitm, wpad mitm, dns over icmp mitm, восстановление данных и новый режим сетевого брутфорса. Даже в таком виде он многократно превосходит консольную unix версию Intercepter'а и будет полезен на security-oriented дистрибутивах линукса.

Благодаря благополучному запуску под линуксом возникло желание провести еще один тест Intercepter'а в родных для Hydra условиях, в этот раз включив в тест SSH.

image

В однопоточных тестах появились небольшие отставания Intercepter'а, но при многопоточности оба инструмента показывают одинаковые результаты. Отдельно рассмотрим тестирование SSH, в котором Hydra оказалась значительно медленнее.

Первый тест проводился на SSH сервере, который поддерживал метод password, работающий значительно быстрее чем keyboard interactive. Судя по всему, Hydra проигнорировала такой подарок и пыталась подобрать пароль интерактивным методом, который занимает гораздо больше времени, отсюда ориентировочное время — 55 минут, которые я даже не стал выжидать до конца. Многопоточное тестирование заняло заметно меньше времени, но больше чем у Intercepter'а. Второе тестирование проводилось на SSH сервере с отключенным режимом password и здесь оба инструмента выступали в равных условиях. Данный тест еще раз подтвердил высокую эффективность Intercepter'а и близость результатов к такому узко-специализированному инструменту как THC-Hydra.

Инструкция по запуску Intercepter под wine в ближайшее время появится в блоге. Более подробный changelog на сайте. Ниже демонстрационное видео.

Tags:
Hubs:
Total votes 49: ↑47 and ↓2 +45
Views 36K
Comments Comments 21