Хакер - Крококряк. Снимаем трафик с витой пары обычными «крокодилами»

Хакер - Крококряк. Снимаем трафик с витой пары обычными «крокодилами»

hacker_frei

https://t.me/hacker_frei

s0i37

Содержание статьи

  • Теория
  • Оборудование
  • Эксплуатация
  • Выводы

Го­ворят, под­слу­шивать нехоро­шо. Одна­ко прос­лушива­ние сетево­го тра­фика для мно­гих не увле­чение, а самая нас­тоящая про­фес­сия. Почему‑то счи­тает­ся, что для это­го тре­бует­ся какое‑то спе­циаль­ное дорогос­тоящее обо­рудо­вание, но я рас­ска­жу, как орга­низо­вать прос­лушива­ние тра­фика в сети с помощью обыч­ных клемм типа «кро­кодил».

INFO

Эта статья — часть серии пуб­ликаций о прак­тичес­ких при­емах взло­ма и атак с исполь­зовани­ем под­ручных устрой­ств, которые мож­но соб­рать дома. В этих матери­алах мы рас­кры­ваем прос­тые спо­собы получе­ния несан­кци­они­рован­ного дос­тупа к защищен­ной информа­ции и показы­ваем, как ее огра­дить от подоб­ных атак. Пре­дыду­щая статья серии: «Cold boot attack. Дам­пим опе­ратив­ную память с помощью флеш­ки».

Су­щес­тву­ет дос­таточ­но кра­сивая по сво­ей прос­тоте и ори­гиналь­нос­ти ата­ка, которая зак­люча­ется в полудуп­лек­сном прос­лушива­нии тра­фика витой пары RJ45. Это озна­чает, что прос­лушива­ется толь­ко полови­на тра­фика — либо вхо­дящий, либо исхо­дящий.

Сниф­финг витой пары — тема не новая, но она акту­аль­на и по сей день из‑за чрез­вычай­ной рас­простра­нен­ности: нес­мотря на то что сей­час пов­семес­тно исполь­зует­ся «опти­ка», ста­рая доб­рая витая пара по‑преж­нему встре­чает­ся поч­ти в каж­дом подъ­езде или коридо­ре офис­ного зда­ния. В жилых домах мож­но обна­ружить такие про­вода, про­тяну­тые поч­ти к каж­дой квар­тире. А порою это и вов­се выг­лядит при­мер­но так.

Ви­тая пара в незащи­щен­ном мес­те (подъ­езд)

Так что твой домаш­ний тра­фик, как мы убе­дим­ся даль­ше, дос­таточ­но лег­ко прос­лушать. Да и в сов­ремен­ных офи­сах так­же час­то мож­но встре­тить витую пару.

Ви­тая пара в незащи­щен­ном мес­те (офис)

Ины­ми сло­вами, ата­ка может быть реали­зова­на из помеще­ния, где есть бес­пре­пятс­твен­ный дос­туп к про­водам витой пары: коридо­ра офис­ного зда­ния или самого обыч­ного подъ­езда.

Ча­ще все­го витая пара встре­чает­ся на «пос­ледней миле», непос­редс­твен­но воз­ле або­нент­ских устрой­ств. Но меж­ду домами, тер­ритори­аль­ными офи­сами ком­паний, то есть на про­тяжен­ных рас­сто­яниях, ско­рее все­го, будет исполь­зовать­ся опти­ка, поэто­му целый дом, ком­панию или даже город, разуме­ется, так прос­лушать не удас­тся. 

ТЕОРИЯ

Про­вод RJ45 сос­тоит из четырех отли­чающих­ся цве­том пар жил. Каж­дая пара — это два про­вода, скру­чен­ные меж­ду собой.

Datasheet RJ45-кон­некто­ра

У каж­дой пары своя роль:

  • зе­леная — при­ем дан­ных;
  • оран­жевая — переда­ча дан­ных;
  • ко­рич­невая — PoE-, дан­ные 1000 Мбит/с;
  • си­няя — PoE+, дан­ные 1000 Мбит/с.

Вхо­дящий и исхо­дящий сетевой тра­фик идет по опре­делен­ной паре жил, а сами бай­ты кодиру­ются прос­тым изме­нени­ем харак­терис­тики элек­три­чес­кого сиг­нала в них. 

ОБОРУДОВАНИЕ

Для реали­зации ата­ки нам пот­ребу­ется обыч­ная сетевая кар­та Ethernet и отре­зок витой пары, сос­тоящий все­го из двух жил. Такой про­вод мож­но сде­лать самос­тоятель­но, купив в спе­циали­зиро­ван­ном магази­не, либо модифи­циро­вать готовый пат­чкорд.

Нас будет инте­ресо­вать толь­ко RX-пара (пер­вая и вто­рая жилы), реали­зован­ная в фор­ме обыч­ного RJ45-кон­некто­ра, как пред­став­лено на сле­дующем рисун­ке.

Datasheet про­вода ата­кующе­го

С обратной сто­роны пер­вую и вто­рую жилу соеди­няем с самыми обыч­ными кро­кодиль­чиками. В ито­ге получа­ется про­вод, про­демонс­три­рован­ный на сле­дующем рисун­ке.

Про­вод ата­кующе­го

В дан­ном слу­чае белый кро­кодиль­чик — положи­тель­ный кон­такт, а чер­ный — отри­цатель­ный. Этот модифи­циро­ван­ный про­вод мы под­клю­чим нап­рямую к сетевой кар­те ата­кующе­го.

ЭКСПЛУАТАЦИЯ

Са­мо прос­лушива­ние тра­фика реали­зует­ся под­клю­чени­ем этих самых кро­кодиль­чиков либо к оран­жевой, либо к зеленой паре, как показа­но на сле­дующем рисун­ке.

Под­клю­чение к витой паре

Внеш­ний кор­пус про­вода, к которо­му мы под­клю­чаем­ся, слег­ка раз­реза­ем кан­целяр­ским ножом. Мы режем вдоль жил, так что жилы при этом не пос­тра­дают. Непос­редс­твен­но с самих жил изо­ляцию сни­мать не нуж­но, дос­таточ­но слег­ка сжать кро­кодиль­чики, и они сами про­давят изо­ляцию в мес­тах кон­такта.

Да­вим до тех пор, пока на сниф­фере сетевой кар­ты, куда мы под­клю­чили обратный конец нашего про­вода, не отоб­разят­ся пакеты, как показа­но на сле­дующем рисун­ке.

Сниф­финг тра­фика с помощью tcpdump

Здесь мы для боль­шей зре­лищ­ности ата­ки про­водим ее с телефо­на под управле­нием Android. Некото­рые внеш­ние сетевые кар­ты могут авто­мати­чес­ки опоз­навать­ся Android, так что от тебя не пот­ребу­ется никаких дей­ствий, кро­ме раз­ве что наличия прав root. На сле­дующем рисун­ке показа­но, как такая ата­ка может выг­лядеть на стен­де.

Стенд

Те­лефон успешно сни­мает тра­фик, иду­щий от одно­го ноут­бука к дру­гому (толь­ко в одну сто­рону). При этом факт прос­лушки никак не выявить, пос­коль­ку никаких допол­нитель­ных хопов (traceroute) меж­ду ноут­буками не появ­ляет­ся. Вос­поль­зуем­ся ути­лита­ми, которые извле­кают из тра­фика учет­ные записи и заг­ружа­емые фай­лы:

rj45/sniff.sh

#!/bin/bash

sudo ethtool -s eth0 speed 100 duplex half autoneg off

sudo ethtool eth0 | grep Speed

sleep 1

dumpfile=out-$(date +'%H:%M:%S_%d.%m.%Y').pcap

sudo tcpdump -i eth0 -nn -w $dumpfile &

tcpdump=$!

tmux new-session -d -s rj45 'sudo tcpdump -i eth0 -nn'

tmux split-window -v -t rj45 'sudo /opt/net-creds/net-creds.py -i eth0'

tmux split-window -v -t rj45 'sudo tcpxtract -d eth0'

tmux a -t rj45

sudo kill $tcpdump

ls -lh $dumpfile

Этот скрипт не толь­ко сох­ранит тра­фик в файл для пос­леду­юще­го ана­лиза, но и удоб­но поделит экран телефо­на на три области, в каж­дой из которых мы уви­дим соот­ветс­тву­ющую информа­цию, как показа­но на сле­дующем рисун­ке.

Из­вле­каем сек­реты

Пер­вая треть экра­на показы­вает прос­лушива­емую полови­ну тра­фика с помощью tcpdump. Вто­рая треть — это ути­лита net-creds, извле­кающая учет­ные дан­ные из тра­фика. И, на минуточ­ку, тут мы извлек­ли NetNTLM-хеш в момент под­клю­чения ком­па к сетево­му дис­ку прос­тыми кро­кодиль­чиками! Пос­ледняя треть экра­на — это tcpxtract, прос­то извле­кающий фай­лы по сиг­натурам вне зависи­мос­ти от про­токо­ла переда­чи дан­ных. И в дан­ном слу­чае при ска­чива­нии кар­тинки по FTP наш телефон успешно сох­ранил ее.

В ходе демонс­тра­ции ни один домаш­ний или кор­поратив­ный интернет не пос­тра­дал. Но мы, конеч­но же, понима­ем, с какой лег­костью тес­товые ком­понен­ты нашего стен­да могут быть замене­ны реаль­ными целями.

Сто­ит отме­тить, что подоб­ный сниф­финг воз­можен толь­ко на под­клю­чении со ско­ростью 10 или 100 Мбит/с, ког­да задей­ство­ваны четыре жилы (оран­жевые и зеленые пары) — четырех­жиль­ный про­вод. С вось­мижиль­ным про­водом дан­ные переда­ются ина­че (со ско­ростью 1000 Мбит/с). Одна­ко даже если в про­воде есть все восемь жил, час­то сетевые кар­ты не сог­ласу­ются в режим 1000 Мбит/с. Нап­ример, на рисун­ке выше, где дли­на про­вода сос­тавля­ет все­го пару мет­ров и все восемь жил в наличии, сетевые кар­ты про­дол­жают работать в уяз­вимом для прос­лушки режиме 100 Мбит/c.

Ес­ли же перед нами витая пара с активным под­клю­чени­ем 1000 Мбит/с, прос­лушивать тра­фик дву­мя кро­кодиль­чиками ста­новит­ся невоз­можно. Одна­ко опыт­ным путем было уста­нов­лено, что если перере­зать одну из допол­нитель­ных пар жил, которые нуж­ны, что­бы обес­печивать ско­рость в 1000 Мбит/с (синюю или корич­невую), то через нес­коль­ко секунд про­изой­дет авто­мати­чес­кий даун­грейд к 100 Мбит/с, и мы вновь смо­жем под­клю­чать кро­кодиль­чики и прос­лушивать тра­фик.

Не­кото­рые ком­пании в сво­их сетях час­то исполь­зуют PoE для питания IP-телефо­нов по витой паре, для это­го задей­ство­ваны те самые допол­нитель­ные жилы (синяя и корич­невая). Из‑за это­го под­клю­чение на ско­рос­ти 1000 Мбит/с в такой сети невоз­можно.

Про­демонс­три­рован­ная ата­ка — это пас­сивное прос­лушива­ние тра­фика на лету без его модифи­кации. Попыт­ки же активно­го вме­шатель­ства в переда­ваемый тра­фик и, нап­ример, ата­ка SSLsplit (под­мена сер­тифика­та) тоже воз­можна, но пот­ребу­ет от ата­кующе­го дос­таточ­ной лов­кости рук, что­бы очень быс­тро раз­резать про­вод, обжать его с двух сто­рон, а потом уже вкли­нить­ся посере­дине. Но такой спо­соб дос­таточ­но «гряз­ный» и бес­хитрос­тный, так что мы его не рас­смат­рива­ем.

Опи­сан­ный же метод с кро­кодиль­чиками тоже нель­зя наз­вать иде­аль­но «чис­тым», пос­коль­ку мы все же раз­реза­ем, пусть и слег­ка, внеш­нюю защиту витой пары. Хотя это никак не ска­зыва­ется на фун­кци­они­рова­нии про­вода и никаких обры­вов соеди­нения при гра­мот­ном исполне­нии этой манипу­ляции не слу­чает­ся.

ВЫВОДЫ

Опас­ность подоб­ного пас­сивно­го прос­лушива­ния тра­фика силь­но сни­жает­ся в эпо­ху пов­семес­тно­го исполь­зования SSL/TLS. Тем не менее ряд про­токо­лов по‑преж­нему исполь­зует откры­тую аутен­тифика­цию — это и всем извес­тные сетевые дис­ки, и FTP, и HTTP-Basic-аутен­тифика­ция на прок­си, и мно­гое дру­гое. И все это час­то встре­чает­ся в кор­поратив­ных сетях.

По­это­му сто­ит уде­лять вни­мание качес­твен­ной прок­ладке кабеля. В слу­чае если мы име­ем дело с ком­пани­ями, недопус­тимо раз­мещать откры­тые про­вода в некон­тро­лиру­емом мес­те. Так­же нелиш­ним было бы исполь­зовать короба, кабель‑каналы или скры­тую прок­ладку кабеля.

Читайте ещё больше платных статей бесплатно: https://t.me/hacker_frei





Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org