Packet Sniffer για Windows: Υποκλοπή δεδομένων τοπικού δικτύου

Ένα τοπικό δίκτυο, π.χ. πίνοντας ένα καφέ και συνδεδεμένος στο Wifi του καταστήματος, είναι ευάλωτο σε επιθέσεις υποκλοπών των δεδομένων μας. Στον σημερινό οδηγό θα δούμε πως μπορεί να επιτευχθεί αυτό στο Windows

Έχουμε αναλύσει διεξοδικά τους μεθόδους που χρησιμοποιούν κακόβουλοι hackers για να «τσιμπίσουν» δεδομένα μας, αλλά και είδαμε και μέτρα ασφάλειας. Όσοι ενδιαφέρεστε να εμβαθύνετε σε αυτά δείτε τα άρθρα παρακάτω:

Τι δεδομένα μπορεί να υποκλέψει κάποιος

Όταν συνδεόμαστε σε κάποιο ξένο δίκτυο ή κάποιος συνδέεται στο δικό μας δίκτυο που δεν έχει προστατευτεί επαρκώς, όπως θα διαβάσατε στα παραπάνω άρθρα, μπορεί να υποκλέψει δεδομένα και πληροφορίες όπως

  • Τις ιστοσελίδες που επισκέπτεστε
  • Τα αρχεία που ανεβάζετε η κατεβάζετε (π.χ. φωτογραφίες, βίντεο κλπ) από ιστοσελίδες που δεν χρησιμοποιούν SSL
  • Τα συνθηματικά και κωδικούς που πληκτρολογήσατε
  • κ.α.

Στον προηγούμενο οδηγό : «Οδηγός Wireshark: Υποκλοπή πακέτων δικτύου και κωδικών » είδαμε πως μπορεί κάποιος με Kali Linux να υποκλέψει δεδομένα στο τοπικό δίκτυό μας. Στον σημερινό οδιγό θα δούμε πως μπορεί να γίνει μέσα από το Windows και το εργαλείο Intercepter-NG η με την χρήση του CommandoVM για Windows.

Advertisements

Τι είναι το Intercepter-NG

Το Intercepter-NG είναι ένα πρόγραμμα για την εκτέλεση επιθέσεων mitm. Υπάρχει ένας μεγάλος αριθμός προγραμμάτων για τέτοιες επιθέσεις, ενώ το κύριο χαρακτηριστικό που διακρίνει το Intercepter-NG μεταξύ άλλων είναι ότι το πρόγραμμα γράφτηκε αρχικά για Windows οπότε και λειτουργεί καλά σε αυτό το λειτουργικό σύστημα.

Επιπλέον, το πρόγραμμα διαθέτει μια γραφική διεπαφή, η οποία περιέχει πολλές λειτουργίες, καθώς και μερικές άλλες λειτουργίες pentesting. Χάρη στη γραφική διεπαφή, είναι εύκολο στη χρήση ωστόσο, ένας μεγάλος αριθμός επιλογών που διαθέτει μπορεί να μπερδέψει έναν αρχάριο χρήστη.

Τι μπορούμε να κάνουμε με το Intercepter-NG

Η επίθεση mitm (ονομάζεται επίσης επίθεση διαμεσολαβητή) συνίσταται στη δυνατότητα προβολής των δεδομένων που μεταδίδονται από άλλους χρήστες στο τοπικό δίκτυο.

Μεταξύ αυτών των δεδομένων μπορούν να είναι όπως είπαμε, οι συνδέσεις και οι κωδικοί πρόσβασης από ιστότοπους. Τα διαβιβαζόμενα δεδομένα μπορούν να αναλυθούν και να αποθηκευτούν, αλλά και να τροποποιηθούν.

Για να κατανοήσετε την τεχνική της επίθεσης, φανταστείτε ένα τοπικό δίκτυο στο οποίο είναι συνδεδεμένοι αρκετοί υπολογιστές, κινητά κλπ. Ο βασικός κόμβος μέσω του οποίου οι υπολογιστές, τα κινητά κλπ μιλάνε μεταξύ τους αλλά και με το internet, είναι το ρούτερ-δρομολογητής. Δεν έχει σημασία αν οι συσκευές συνδέονται με καλώδιο ή WiFi. Ο δρομολογητής λαμβάνει αιτήματα από υπολογιστές, τους ανακατευθύνει, για παράδειγμα, στο Internet και οι ληφθέντες απαντήσεις επιστρέφονται στους υπολογιστές που έστειλαν τα αιτήματα. Με άλλα λόγια, ο δρομολογητής είναι η πύλη μεταξύ του έσω και του έξω κόσμου.

Λόγω της επίθεσης που ονομάζεται ARP spoofing, ο υπολογιστής αρχίζει να θεωρεί ως πύλη όχι το ρούτερ, αλλά τον υπολογιστή του εισβολέα. Ο επιτιθέμενος λαμβάνει αιτήματα από το «θύμα» και τα στέλνει στον προορισμό (για παράδειγμα, ζητά τα περιεχόμενα του ιστότοπου στο Διαδίκτυο), λαμβάνει απάντηση από τον προορισμό και τον στέλνει στο «θύμα». Σε αυτήν την περίπτωση, ο εισβολέας γίνεται ενδιάμεσος. Το Intercepter-NG υλοποιεί την επίθεση ARP και την εκτελεί αυτόματα. Ο εισβολέας αποκτά πρόσβαση στα δεδομένα που μεταδίδονται και μπορεί, για παράδειγμα, να ανασύρει κωδικούς πρόσβασης και μηνύματα από αυτά τα δεδομένα. Η διαδικασία ανάλυσης των μεταδιδόμενων δεδομένων ονομάζεται sniff. Στη διαδικασία sniffing, το Intercepter-NG μπορεί να:

  • Αντιγράψει τα στοιχεία σύνδεσης και τους κωδικούς πρόσβασης για να συνδεθεί σε ιστότοπους
  • Ανακτήσει τα μεταφερθέντα δεδομένα (αρχείων)
  • Ανιχνεύσει μηνύματα από μερικούς instant messengers
  • Δει τις διευθύνσεις που επισκέφθηκε κάποιος χρήστης

Εκτός από τη μεταφορά δεδομένων, είναι δυνατό να τις τροποποιήσει, να εισαγάγει JavaScript στον κώδικα των ανοιγμένων σελίδων και να αναγκάσει τον χρήστη (θύμα) να κατεβάσει ένα αρχείο. Επίσης, επειδή πριν από τη σύνδεση με κάποιον ιστότοπο, οι υπολογιστές ζητούν από έναν διακομιστή DNS (διακομιστής ονομάτων) για να βρουν μια διεύθυνση IP του αιτούμενου κεντρικού υπολογιστή, το Intercepter-NG μπορεί να αλλάξει τις απαντήσεις DNS (spoofing DNS), το οποίο επιτρέπει στον επιτιθέμενο να ανακατευθύνει το «θύμα» σε ψεύτικους κλώνους ιστοσελίδων για άλλου είδους επιθέσεις.

Παρόλο αυτό το «σκοτεινό» σενάριο, τα πράγματα δεν είναι τόσο απλά. Όλες αυτές οι τεχνικές δουλεύουν καλά μόνο, όπως είπαμε πιο πάνω, για μη κρυπτογραφημένα δεδομένα/συνδέσεις. Εάν τα δεδομένα είναι κρυπτογραφημένα (HTTPS, κλειδάκι αριστερά στον browser), τότε δεν μπορούν να αναλυθούν χωρίς πρόσθετες ενέργειες.

Από που μπορούμε να κατεβάσουμε το Intercepter-NG

Mπορείτε να κατεβάσετε το Intercepter-NG απο το GitHab:

Υπάρχουν όλες οι εκδόσεις του προγράμματος:

  • αρχείο με την επέκταση .apk για Android (απαιτεί δικαιώματα root)
  • αρχείο με CE είναι έκδοση κονσόλας
  • Intercepter-NG.v * .zip είναι η κύρια έκδοση για τα Windows

Το πρόγραμμα που έχετε κατεβάσει δεν χρειάζεται να εγκατασταθεί – απλά αποσυμπιέστε το αρχείο και το τρέχετε από τον φάκελο.

Η τεχνική man-in-the-middle attack με το Intercepter-NG

Ας ξεκινήσουμε με μια κλασσική επίθεση mitm. Ανάλογα με το αν είστε συνδεδεμένοι μέσω WiFi ή Ethernet (καλώδιο), ορίστε την επιθυμητή λειτουργία κάνοντας κλικ στο επισημασμένο εικονίδιο (εάν είναι συνδεδεμένο με καλώδιο – επιλέξτε την εικόνα της κάρτας δικτύου, εάν στο ασύρματο δίκτυο, στη συνέχεια επιλέξτε την εικόνα με το επίπεδο σήματος):

Packet Sniffer για Windows: Υποκλοπή δεδομένων τοπικού δικτύου - Intercepter-NG επιλογή κάρτας δικτύου

Ανοίξτε επίσης την λίστα προσαρμογέων δικτύου και επιλέξτε τη διεύθυνση IP που αντιστοιχεί στο δικό σας δίκτυο.

Packet Sniffer για Windows: Υποκλοπή δεδομένων τοπικού δικτύου - Intercepter-NG επιλογή  τοπικού δικτύου

Κάντε δεξί κλικ στο κενό πίνακα και επιλέξτε Smart Scan:

Packet Sniffer για Windows: Υποκλοπή δεδομένων τοπικού δικτύου - Intercepter-NG επιλογή  scan

Θα εμφανιστεί μια λίστα στόχων:

Packet Sniffer για Windows: Υποκλοπή δεδομένων τοπικού δικτύου - Intercepter-NG επιλογή  στόχων

Επιλέξτε αυτό στο οποίο θέλετε να επιτεθείτε και κάντε «Add as Target»:

Packet Sniffer για Windows: Υποκλοπή δεδομένων τοπικού δικτύου - Intercepter-NG επιλογή  προσθήκη στόχων

Για να αρχίσετε την υποκλοπή δεδομένων, κάντε κλικ στο αντίστοιχο εικονίδιο:

Packet Sniffer για Windows: Υποκλοπή δεδομένων τοπικού δικτύου - Intercepter-NG επιλογή υποκλοπή δεδομένων

Κάντε κλικ στην καρτέλα MiTM (εικονίδιο σφαίρα με καλώδια) και κάντε κλικ στο εικονίδιο ARP Poison (το σύμβολο κινδύνου ακτινοβολίας):

Packet Sniffer για Windows: Υποκλοπή δεδομένων τοπικού δικτύου - Intercepter-NG επιλογή  Arp attack

Στην καρτέλα «Κατάσταση κωδικού πρόσβασης» (εικονίδιο δέσμης κλειδιών), θα εμφανιστούν τα διαπιστευτήρια που έχουν ληφθεί:

Packet Sniffer για Windows: Υποκλοπή δεδομένων τοπικού δικτύου - Intercepter-NG προβολή κωδικών πρόσβασης

Στην καρτέλα Resurrection (το κουμπί με τον Φοίνικα) μπορείτε να δείτε ποια αρχεία διακινήθηκαν:

Packet Sniffer για Windows: Υποκλοπή δεδομένων τοπικού δικτύου - Intercepter-NG προβολή αρχείων

Είδαμε λοιπόν πως γίνεται μια βασική επίθεση, η οποία επιτρέπει:

  • τον εντοπισμό συνδέσεων και κωδικών πρόσβασης.
  • να δούμε ποιους ιστότοπους επισκέπτεται ο χρήστης και ποια αρχεία κατεβάζει.

Μια βασική επίθεση ARP spoofing, ξεκινούν μια σειρά από άλλες πιο σύνθετες επιθέσεις.

Login σε μια σελίδα χρησιμοποιώντας intercepted cookies

Το πρόγραμμα μπορεί να παρακολουθήσει όχι μόνο τα δεδομένα αλλά και τα αρχεία διαπιστευτηρίων τα οποία αποθηκεύονται ως «cookies» στον υπολογιστή. Χρησιμοποιώντας αυτά τα cookies μπορείτε να συνδεθείτε ως ο ίδιος ο χρήστης «θύμα» της ιστοσελίδας χωρίς να εισάγετε τον κωδικό πρόσβασης.

Ξεκινήστε την βασική επίθεση όπως την δείξαμε πιο πάνω. Μεταβείτε στην καρτέλα «Κωδικοί πρόσβασης», κάντε δεξί κλικ σε ένα κενό πεδίο του πίνακα και επιλέξτε «Εμφάνιση Cookies»:

Packet Sniffer για Windows: Υποκλοπή δεδομένων τοπικού δικτύου - Intercepter-NG προβολή cookies

Θα δείτε τα cookies που έχουν υποκλαπεί:

Packet Sniffer για Windows: Υποκλοπή δεδομένων τοπικού δικτύου - Intercepter-NG cookies που έχουν υποκλαπεί

Κάντε κλικ στην εγγραφή με το δεξί κουμπί του ποντικιού και επιλέξτε «Άνοιγμα στο πρόγραμμα περιήγησης». Θα ανοίξει η σελίδα που επισκέφθηκε ο χρήστης και θα συνδεθείτε ως ο χρήστη που κατέχει τον λογαριασμό χωρίς να δώσετε κωδικό.

Μηδενίζοντας τα cookies για ανανέωση του κωδικού πρόσβασης

Τα cookies που αποθηκεύονται από τον browser, έχουν μια ημερομηνία λήξης η μπορεί και να αντικατασταθούν, οπότε δεν θα μπορέσουμε να συνδεθούμε με τα παλιά cookies στον ιστότοπο του θύματος.

Advertisements

Ως εκ τούτου, θα χρειαστεί να προκαλέσουμε την ανανέωση της εισόδου του χρήστη για να λάβουμε ένα «φρέσκο» cookie με κωδικό πρόσβασης.

Μπορούμε να επιτύχουμε αυτή τη διαδικασία – μηδενίζοντας τα cookies. Για αυτό υπάρχει μια ειδική επιλογή: Cookie Killer. Το Cookie Killer καθαρίζει τα cookies, αναγκάζοντας έτσι τον χρήστη να εισάγει ξανά ένα όνομα χρήστη και έναν κωδικό πρόσβασης στην ιστοσελίδα που επισκέπτεται, έτσι ώστε ο εισβολέας να μπορεί να τα υποκλέψει. Η λειτουργία Cookie Killer λειτουργεί και για συνδέσεις SSL.

Υπάρχουν Blacklist (misc\ssl_bl.txt) και whitelists (misc\ssl_wl.txt). Σε αυτά, μπορείτε να εξαιρέσετε ή εναλλακτικά να ορίσετε διευθύνσεις IP ή τομείς στους οποίους πρέπει ή δεν πρέπει να χρησιμοποιείτε το SSL MiTM. Αν καθορίζετε τη θύρα επιπλέον ssl, δεν χρειάζεται να καθορίσετε τον τύπο ανάγνωσης\εγγραφής, καθορίστε απλά τον αριθμό θύρας. Η όλη κίνηση είναι γραμμένη στο αρχείο ssl_log.txt

Παραπομπές

Advertisements

2 σκέψεις σχετικά με το “Packet Sniffer για Windows: Υποκλοπή δεδομένων τοπικού δικτύου

  1. Καλό άρθρο, αν και τα εξ ολοκλήρου δικά σας περιέχουν άλλου επιπέδου ποιότητα.

    Τώρα η συγκεκριμένη ιστορία με τέτοιου είδους προγράμματα και παρουσιάσεις αυτών, παίζει εδώ και τόσα χρόνια, και προσωπικά δεν μου προκαλεί καμία εντύπωση. Πόσο μάλλον που τα εν λόγο λογισμικά/μέθοδοι αυτού του είδους δεν λειτουργούν πλέον.
    Ωραία και η παρουσίαση υποκλοπής των cookies αλλά και εξαναγκασμού δημιουργίας νέας σύνδεσης/νέων cookies. Αλλά μάγκες τίποτα αυτά δεν λειτουργεί πλέον. Πλέον είναι δύσκολο να βρεις μη ασφαλή σελίδα χωρίς SSL (HTTPS) – και πόσο μάλλον για σημαντικές σελίδες που κάποιον θα τον ενδιέφερε να κλέψει τα στοιχεία.
    Η παραπλάνηση όμως πως μια σελίδα είναι αυτή που νομίζει και είναι «ασφαλής» μπορεί να έχει καλύτερα αποτελέσματα. ;-)

    Παρόλα αυτά υπάρχουν άλλες τεχνικές που μπορείς να εφαρμόσεις και να έχεις πιθανότητες για τουλάχιστον καλύτερα και πιο σοβαρά αποτελέσματα.

    Το εν λόγο εργαλείο και η παραπάνω παρουσίαση είναι για τελείως πρωτάρηδες ( που και αυτοί ακόμη αμφιβάλω αν θα εντυπωσιαστούν ).

    Με πολύ σεβασμό.
    Ευχαριστούμε για το άρθρο και καλό καλοκαίρι.

  2. Αν θες να βοηθήσεις μπορείς αν θέλεις και εσύ να αναφέρεις ανανεωμένες τεχνικές και προγράμματα.θα χαρώ να τις διαβάσω.παντα φιλικά, ευχαριστώ

Σου άρεσε το άρθρο; Πες την άποψή σου... έστω και Ανώνυμα:

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Google

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση /  Αλλαγή )

Σύνδεση με %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.