ARP-Spoofing с помощью Intercepter-NG

Intercepter-NG

Ранее, я уже рассказывал про Intercepter-NG и о использовании общедоступных Wi-Fi точек доступа. Этой заметкой я хочу дополнить предыдущий пост и, показать на примере, как с помощью Intercepter-NG на Windows «снюхать» все передаваемые данные через общественный Wi-Fi. Информация, которой я хочу поделиться, не должна быть направлена на деяния со злым и противозаконным умыслом. Все как и раньше, строго для образовательных целей.

ARP-Spoofing

ARP-Spoofing – это разновидность сетевой атаки типа «человек по середине» (англ. MitM). Она применяется в сетях с помощью протокола ARP. Сегодня данный тип атаки приобрел популярность в открытых Wi-Fi сетях. Атака данного типа стала возможной благодаря уязвимости в протоколе ARP, так как этот протокол не проверяет подлинность запросов и ответов.

Данная уязвимость позволяет перехватывать трафик в незащищенных Wi-Fi сетях. А благодаря функции Cookie Killer доступной в Intercepter, злоумышленник имеет возможно получать не только сессии пользователей, но и логины, пароли. Для настройки Intercepter-NG и начала проведения данной атаки потребуется не более пяти минут.

Настройка и конфигурация Intercepter-NG

Для чего злоумышленники нюхают общедоступные сети? Правильно, они хотят получить доступ к тем или иным сервисам, которыми пользуются «жертвы» во время переваривания курочки в KFC. Опасность использования общедоступных сетей преследует обычных пользователей всегда: в метро, кафе и парках.

Кажется, я уже рассказывал об этом. Для получения логинов и паролей с помощью атаки ARP-Spoofing, нам потребуется сам Intercepter-NG и любая открытая точка Wi-Fi. Скачиваем Intercepter с официально сайта и устанавливаем его. На данный момент, я буду демонстрировать настройку Intercepter-NG на операционной системе Windows.

Подмена MAC-адреса

Если это все же произошло, и вам необходимо сменить MAC-адрес вашего сетевого устройства в Windows, призываю сделать это с помощью стандартных средств без использования стороннего софта.

Для смены MAC-адреса в Windows, нам потребуется список валидных адресов и свойства настройки устройства, с помощью которого мы выходим в сеть. Все делается вручную легко и просто.

Смена MAC-адреса

Атака MitM

Интерфейс выглядит немного заморочено и необычно, но ничего страшного, обо всем по порядку. Сначала необходимо выбрать сетевую карту, с помощью которой наш компьютер подключается к сети (можно выбрать хост, вообще сетевая карта необходима для подключения через Ethernet, и если вы подключены к какой-либо точке Wi-Fi с помощью сетевого адаптера, Intercepter откажется с ним работать). Windows 10 же, создает для такого случая свой хост.

Обращаю ваше внимание, если вы подключены к роутеру с помощью кабеля RJ-45, то есть через Ethernet, данную атаку так же легко удастся провести. Выбираем сетевую карту, нажимаем кнопку Scan (с изображением радара), в пустом размеченном поле нажимаем правую кнопку мыши и выбираем функцию Smart Scan.

Intercepter-NG Smart Scan

Теперь Intercepter просканирует сеть на наличие подключенных устройств. Полученные данные (список устройств) теперь доступен в виде таблицы. Из этой таблицы можно узнать типы подключенных устройств и их операционную систему.

Intercepter-NG

Я имитировал данную ситуацию с открытой сетью у себя, но уже в своей домашней сети. К роутеру подключён компьютер (по Wi-Fi), с помощью которого будет производится атака, а в качестве жертвы я подключил обычный смартфон. Теперь необходимо выбрать тот самый смартфон-жертву, хотя можно выбрать все доступные устройства в этой сети, но пока в этом нет необходимости. Добавляем наш смартфон в NAT, и переходим к настройкам MitM (MitM options).

Щелкаем на иконку «глаз в шляпе» (Configure MitM’s) и отмечаем две необходимые функции: SSL MitM и SSL Stip. Сейчас я начну ругаться, но скорее всего SSL Strip, как всегда, отработает на Windows паршиво, и не перенаправит жертву на обычный протокол HTTP.

Intercepter-NG

Я не знаю в чем тут дело, но эта функция постоянно доставляет проблем, и не только в Windows. Хотя когда-то отлично работала на Android. Может быть софт, а может быть я не такой как все.

Теперь софт полностью готов к работе, за исключением опции Cookie Killer (из названия понятно, что это такое). Её так же можно активировать, просто поставив галочку в настройках.

Cookie Killer

Активируем сниффинг и включаем все необходимое для проведения ARP-Spoofing’a.

Start Sniffing

ARP Poison

Переходим на вкладку Resurrection Mode (с птичкой), и наблюдаем за перехваченным трафиком. Здесь находятся все сессии пользователя («жертвы»), добро в виде картинок, скриптов и всякой другой ерунды Intercepter хранит в отдельной папке, которая находится рядом с самой программой.

Файлы перехваченные Intercepter-NG

Ждем пока «жертва» посетит интересующие нас ресурсы, и плавно переходим к другой вкладке под названием Password Mode. Здесь, как вы уже догадались, будут расположены перехваченные данные авторизаций «жертвы». Все довольно просто, логины и пароли программа выделяет красным шрифтом.

Ressurection Mode

Вот я, например, авторизовался в админке сайта на WordPress, и Intercepter с легкостью перехватил эти данные. Админка в руках у злоумышленника. По такой же системе программа работает и с остальными ресурсами использующими авторизацию.

Login & Password

Кража аккаунтов в социальных сетях

В большинстве случаев, перехватить авторизации в социальных сетях, которые вдобавок еще и используют защищенное соединение, довольно трудно. Почему? Все очень просто, скрипты типа SSL Strip, работаю некорректно (виноваты те, кто их написал, сам же Intercepter довольно стабильный, за исключением одного момента), и большинство пользователей, давно используют, вместо браузера мобильное приложение, поэтому перехватить данные авторизации – сложно. Для проведения аудита беспроводных сетей и «прослушивания» трафика, отлично подходит аналог Intercepter под Linux – ARPoison.

Защита от ARP-Spoofing'а

Необходимо тщательно следить за подключенными к вам устройствами. То есть, вы используете роутер, прекрасно знаете, какие устройства обычно подключаются к вашей сети и легко можете их распознать. Просто устанавливаете волшебную программу под названием SoftPerfect WiFi Guard и отслеживаете устройства, подключенные к вашему роутеру.

SoftPerfect WiFi Guard WiFi Guard Если используете Linux, неплохой вариант использовать такие инструменты как – arpwatch.

Второй вариант использовать VPN. Но это не бесплатно. Подойдет не каждому, но это самый лучший вариант.

Если же вы администратор какой-либо локальной сети, то нужно будет попотеть и настроить ARP-таблицы вручную и, конечно же, отслеживать такие типы атак с помощью доступных инструментов.

Раздай Wi-Fi! Без проблем

В общественных местах, где Wi-Fi просто нет (например, не установлен администрацией кафе), злоумышленники используют мощные смартфоны для создания «горячей» точки доступа с одноименным названием заведения. То есть, классический вариант FakeAP, только с помощью смартфона на Android и Intercepter. Пользуясь данным методом, даже не нужно проводить APR-Spoofing, достаточно лишь использовать «человека по середине».

Настроение