Статьи

Интервью с Лукой Сафоновым

Intercepter — Tue, 09 Mar 2021 16:06:49 GMT

Начиная с этого года на моём Youtube канале стали выходить интервью. Среди гостей уже были и чёрные хакеры и бывший киберпреступник. Сейчас вышло интервью с одним из самых активных авторов раздела ИБ на Хабре - Лукой Сафоновым.

Новое применение Captive Portal для проведения MiTM атак

Intercepter — Thu, 03 Sep 2020 17:48:29 GMT

Тема проведения Man in the Middle атаки в контексте Captive Portal стара как мир. Как правило ведется речь о поднятии фейковой беспроводной точки доступа с собственным Captive порталом. Сегодня я покажу совершенно другой вектор атаки, выходящий за грани WiFi и применимый в том числе и в проводных Ethernet сетях.

Четверть выходных нод TOR под контролем злоумышленников

Intercepter — Tue, 11 Aug 2020 18:56:12 GMT

9 августа некий Nusenu, владелец выходной ноды в TOR, опубликовал пост, в котором заявил, что более 23% всех выходных нод находятся под контролем злоумышленников, которые перехватывают трафик пользователей и подменяют на лету Bitcoin кошельки в попытке увести чужие средства. Оригинал статьи находится здесь.

Истинный масштаб операций этой группы неизвестен, но их главной целью является получение прибыли. Злоумышленники осуществляют атаки man-in-the-middle на пользователей Tor и манипулируют трафиком, проходящим через подконтрольные им выходные узлы. Особенность ситуации в том, что атакующие применяли технику sslstrip, которая почему-то считается давно умершей и утратившей актуальность. Пока т.н. специалисты твердят об HTTP Strict Transport Security (= HSTS) и прочих preloaded списках доменов, сетевые злодеи вовсю эксплуатируют старую технику. В свое время Эдвард Сноуден использовал такие же приемы в своей деятельности.

Вышел Intercepter-NG 2.5 для Android

Intercepter — Wed, 15 Apr 2020 18:48:54 GMT

Да, Intercepter еще жив! И после длительного затишья я рад представить новую версию.

Изначально ставилась задача причесать интерфейс, исправить ошибки, ввести некоторые нововведения и протестировать работоспособность на новых версиях Android.

Что из этого вышло — под катом.

Читать дальше →

Юбилейный выпуск Intercepter-NG 1.0

Intercepter — Wed, 07 Sep 2016 10:34:44 GMT

После 10 лет разработки (именно столько стукнуло проекту) наконец-то индекс версии Intercepter-NG дошел до 1.0. По сложившейся традиции выход обновлений под Windows происходит раз в году, и юбилейный релиз действительно удался. Хочется поблагодарить всех людей, которые за все эти годы оказывали помощь в тестировании, давали обстоятельный фидбек и идейно вдохновляли. Начнем обзор с мелочей и в конце рассмотрим наиболее вкусную фичу Intercepter-NG 1.0.

Вышел новый Intercepter-NG [Android Edition] 1.6

Intercepter — Thu, 05 Nov 2015 16:34:42 GMT

Сегодня маленький праздник для любителей расширить функциональные возможности своих телефонов и прочих гаджетов, работающих на андроиде. Вышел новый Intercepter-NG [Android Edition] под версией 1.6.

Читать дальше →

Обзор нового Intercepter-NG 0.9.10

Intercepter — Wed, 29 Jul 2015 12:28:09 GMT

Intro

С большим удовольствием хочу представить новую версию Intercepter-NG 0.9.10, которая, на мой взгляд, в значительной степени расширяет область применения инструмента. Данный обзор будет представлен не в виде сухого перечисления нововведений, а скорее как описание новых векторов атак вместе с рядом технических подробностей и элементами hack-story. Приступим…

Читать дальше →

Обзор новых функций Intercepter-NG

Intercepter — Tue, 29 Jul 2014 05:41:01 GMT

Год ожиданий не прошел напрасно и он компенсируется достаточно интересными функциями, появившимися в новой версии инструмента. Релиз состоялся раньше намеченного срока и часть ранее планируемых функций в него не вошли из-за того, что появились куда более важные нововведения.

В новой версии присутствует ранее продемонстрированная атака на Active Directory (Ldap Relay), функция Java Injection, эксплоит для уязвимости HeartBleed, Plugin Detector, но заострить внимание я хотел бы на совсем других вещах.
Читать дальше →

Реинкарнация NTLM-relay или как стать администратором домена за 1 минуту

Intercepter — Mon, 16 Jun 2014 04:24:27 GMT

Данный пост является логическим продолжением исследований, начатых в тыц и тыц.

В первом посте я писал о старом добром SMB Relay в контексте современных условий эксплуатации.
Второй пост затрагивал новую технику под названием SMB Hijacking с помощью которой можно выполнить код даже если исходящая SMB сессия использует Kerberos.

В этот раз речь пойдет об очередной технике, в основе которой лежит классический NTLM Relay.
Читать дальше →

SMB Hijacking. Kerberos не помеха

Intercepter — Tue, 11 Jun 2013 08:53:52 GMT

Про SMBRelay (или если быть точным NTLM-Relay) написано и сказано довольно много. Совершенно нет желания
вспоминать подробности данной атаки. Напомню только то, что суть атаки сводится к манипуляциям с аутентификационными данными пользователя, которые затем могут быть перенаправлены на другой ресурс.
Такое перенаправление позволяет аутентифицироваться и получить доступ к третьему ресурсу, что обычно выливается в загрузку файла с его последующим запуском.
Читать дальше →

MiTM атака на SSH

Intercepter — Mon, 15 Apr 2013 07:32:11 GMT

В новой версии Intercepter-NG появилась возможность провести полноценную атаку на SSH-2 протокол.

Атакующий получает данные авторизации пользователя и логирует весь сеанс связи, запуск команд и результат их выполнения.
Для этого Intercepter перенаправляет трафик жертвы на свой собственный ssh сервер и в случае успешной авторизации
проксирует соединение до оригинального сервера.
Читать дальше →

Обновился Intercepter-NG

Intercepter — Fri, 22 Mar 2013 09:57:09 GMT

В новой версии появился как новый функционал, так и обновился старый.

Рассмотрим наиболее примечательные нововведения.

1. PCAP Over IP.

Данная функция связана с удаленным захватом трафика и является отличной заменой
старому и проблемному сервису rpcapd. Читать дальше →

О «карманном» перехвате в предпоследний раз

Intercepter — Wed, 05 Dec 2012 13:57:45 GMT

Под андроид существует немало различных программ, реализующих тот или иной функционал по перехвату и анализу трафика.
В большинстве своем это однозадачные утилиты, выполняющие 1-2 функции (droidsheep, faceniff), хотя есть и комплексные тулкиты с большим заявленным набором функций (dsploit).

У программ первого типа недостатком является именно их однозадачность, а программы второго типа грешат избытком бесполезных возможностей и запутанностью интерфейса.
Читать дальше →

Принудительный разрыв HTTP сессий при MiTM

Intercepter — Tue, 18 Sep 2012 09:18:19 GMT

Как правило, при перехвате трафика средствами mitm имеется две различные возможности
заполучить доступ к некоему web ресурсу, к которому обращается атакуемый. Наиболее предпочтительно перехватить момент авторизации и получить логин и пароль открытым текстом, что позволит в любое время иметь доступ на данный ресурс.

Второй, наименее предпочтительный вариант, это перехват куков уже активной сессии, логина и пароля мы не получаем, но
зато можем подставить эти самые куки в свой браузер и получить доступ к ресурсу на время действия сессии.
Читать дальше →

Подмена файлов в HTTP трафике

Intercepter — Mon, 06 Aug 2012 12:46:47 GMT

Помимо пассивного прослушивания трафика, MiTM атаки могут предоставить больше возможностей, вплоть до выполнения произвольного кода на стороне жертвы. При этом не требуется эксплуатация уязвимостей, а требуется лишь терпение и подходящие условия. Речь идет о подмене файлов в HTTP трафике.
Читать дальше →

Карманный перехват и восстановление файлов из трафика

Intercepter — Fri, 01 Jun 2012 12:36:38 GMT

Про MiTM на айфонах и андроидах уже были соответствующие посты.
К упомянутым инструментам добавился еще один, так сказать специализированный.

Была создана консольная версия снифера Intercepter-NG и она же портирована под unix-like
операционные системы, включая IOS и Android.

Читать дальше →

Актуальность атаки SMBRelay в современных Windows сетях

Intercepter — Tue, 17 Apr 2012 06:56:36 GMT

Впервые с smbrelay я столкнулся в середине 2000х годов и знакомство оказалось неудачным. На тот момент существовало всего несколько эксплоитов, которые даже в то время работали абы как. И это не смотря на то, что сама уязвимость протокола выявлена еще в конце 90х годов. Не получив нужного результата весь интерес совершенно пропал.

Но вот буквально пару недель назад появилось желание исследовать вопрос еще раз. Оказалось, что по большому счету ситуация не изменилась, но появились новые эксплоиты, работоспособность которых и захотелось проверить.

Для тех кто слабо знаком с уязвимостью SMB напомним ее суть. Заставив жертву зайти на smb ресурс злоумышленника, атакующий может совершить перенаправление аутентификационных данных на саму же жертву, тем самым получив доступ к диску и через службу межпроцессного взаимодействия выполнить любой код.

Стоит отметить, что столь серьезная уязвимость в первозданном виде просуществовала до конца 2008 года, ровно до тех пор, пока не появился вменяемо работающий эксплоит.
Читать дальше →

Перехват WEB трафика через протокол WPAD при помощи Intercepter-NG

Intercepter — Thu, 05 Apr 2012 12:19:30 GMT

WPAD — WebProxy Auto-Discovery. Протокол автоматического получения настроек прокси в локальной сети, поддерживается практически всеми веб-браузерами и рядом других приложений.

В кратце суть его работы такова: если клиент использует DHCP для получения IP адреса, то и за урлом с настройкой прокси он обращается к своему DHCP серверу. Если DHCP не настроен на выдачу WPAD конфигурации или в сети не используется DHCP как таковой, то клиент пробует разрешить сетевое имя вида wpad.localdomain используя DNS. Если такое имя не найдено, то делается последняя попытка поиска имени 'WPAD' через NetBios. Если имя не найдено, клиент пробует соединиться напрямую, но если кто-то в сети сказал что он имеет имя 'WPAD', то клиент соединяется по 80 порту на IP ответившего хоста и затем пытается загрузить файл wpad.dat, в котором должны находиться настройки прокси.
Читать дальше →

Intercepter-NG 0.9

Intercepter — Fri, 11 Nov 2011 10:22:22 GMT

Intercepter-NG: многофункциональный снифер паролей и переписки.

В новой версии сильно переработан интерфейс, максимально автоматизирован процесс проведения сетевых атак и внесено множество изменений в код.

Нововведения:
1. NAT интегрирован в Intercepter.

2. Функция 'Smart Scan', автоматически определяющая:
a. действующий шлюз в сети
b. Stealth IP для MiTM атак
c. операционную систему найденных хостов (по значению TTL)
После сканирования значения шлюза и stealth ip прописываются в соответствующих полях NAT'а.

3. Raw Mode переделан под стиль Wireshark.
Доступна функция «Follow TCP Stream» для анализа отдельно взятой TCP сессии, кроме этого можно отображать только пакеты с данными, скрывая «служебный» tcp трафик.

При отключении спуфинга, любую атаку можно провести в среде WiFi.

Краткий обзор можно посмотреть здесь

Если вдруг что-то не работает, есть мини FAQ на сайте, а так же README в архиве с программой, с описанием функций и возможных проблем. Если решение не найдено, пишем на intercepter.mail@gmail.com или на форум.

http://sniff.su

Обновление 0x4553-Intercepter

Intercepter — Sun, 02 Oct 2011 07:41:22 GMT

К функционалу программы добавлены 2 техники: SSL MiTM и SSL Strip.

Первая является старой классической техникой подмены сертификатов.
Позволяет перехватывать данные любого протокола, защищенного при помощи SSL.
Стандартно поддерживаются: HTTPS\POP3S\SMTPS\IMAPS.
Опционально можно указать любой дополнительный порт.

При перехвате HTTPS, сертификаты генерируются «на лету», копируя оригинальную информацию
с запрашиваемого ресурса. Для всех других случаев используется статичный сертификат.

Естественно, при использовании данного функционала неизбежны предупреждения браузера и другого
клиентского ПО.

SSL Strip — «тихая» техника для перехвата HTTPS соединений. Долгое время рабочая версия
существовала только под unix, теперь подобные действия можно проводить и в среде NT.

Суть в следующем: атакующий находится «посередине», анализируется HTTP трафик, выявляются все https:// ссылки и производится их замена на http://

Таким образом клиент продолжает общаться с сервером в незащищенном режиме. Все запросы на замененные ссылки контролируются и в ответ доставляются данные с оригинальных https источников.

Т.к. никаких сертификатов не подменяется, то и предупреждений нет.
Для имитации безопасного соединения производится замена иконки favicon.

Одно закономерное условие успешного перехвата — URL должен быть введен без указания префикса https.

Официальный сайт — sniff.su