Raspberry sPy: делаем шпионское устройство из Raspberry Pi

Для реализации задуманного нам потребуется Raspberry Pi, сетевой адаптер USB и Power Bank или иной источник питания.

В этой статье мы поговорим о том, как превратить малинку в устройство для MITM атак и о том, как вы можете спасти себя или организацию от такой угрозы. 

Атака «человек посередине» (Man In The Middle) подразумевает тайное превращение в посредника между двумя сторонами; каждый думает, что разговаривает с другим, хотя на самом деле они оба разговаривают с атакующим. Злоумышленник может передать информацию без изменений (просто наблюдая за сообщением) или может изменить части сообщения для своих злых целей. Статья Википедии приводит примеры, а также предлагает контрмеры. Наиболее широко используемой контрмерой в настоящее время является использование SSL / TLS для проверки другой стороны в сообщении. TLS, однако, опирается на инфраструктуру открытых ключей, и уже были примеры хакеров, взломавших центры сертификации и выдавших поддельные сертификаты для выполнения атак «человек посередине» на сеансах HTTPS. Взлом центра сертификации выходит за рамки данной статьи, и мы ограничимся выполнением MITM-атаки на HTTP-трафик.

Установка ОС

Тут всё максимально просто, берем образ Kali для RPi тут и после устанавливаем ОС на нашу SD-карту (не менее 16 гигабайт).

Когда наша малина запуститься в систему можно будет войти (к примеру по ssh, если у вас нет HDMI кабеля для RPi) как пользователь kali с паролем kali, при желании вы можете сменить пароль командой passwd. По умолчанию у пользователя kali нет sudo прав, эту проблему мы решим добавлением пользователя с именем pi (вы можете использовать другое) и выдадим ему все необходимые права этими командами:

sudo useradd -m pi – Добавляем пользователя pi
passwd pi – Меняем пароль для pi
usermod -a -G sudo pi
a значит добавить (add)
-G sudo значит добавить пользователя в группу sudo пользователей
chsh -s /bin/bash pi – Указываем консоль для пользователя pi

После в файл /etc/wpa_supplicant.conf вы можете поместить следующее:

network={
    ssid="router_ssid"
    psk="wifi_password"
}

Таким образом вы укажете к какой WiFi сети подключаться и в дальнейшем сможете с телефона управлять RPi.

Настройка и установка программ

Когда новый пользователь создан можно переходить к настройке и установке софта на малину.

Сперва скачаем твики для RPi, клонируем этот ропозиторий https://github.com/Re4son/RPi-Tweaks командой git clone:

git clone https://github.com/Re4son/RPi-Tweaks

После переходим в директорию kalipi-config, делаем файл kalipi-config исполняемым sudo chmod +x kalipi-config и запускаем его sudo ./kalipi-config

В открывшемся меню настроек выбираем всё как на скриншотах, таким образом мы заставим нашу малину грузиться в указанного пользователя (kali либо pi) без ввода пароля.

Если вы привыкли к графической оболочке, то можно установить xrdp и добавить его в автозагрузку, таким образом вы сможете подключаться к рабочему столу малины используя свой телефон или другое устройство.

Начнем с обновления списка пакета репозиториев:

sudo apt-get update

Установим xrdp и добавим его в автозагрузку:

sudo apt-get install xrdp

Убедимся, что все поставилось без ошибок:

sudo service xrdp start
sudo service xrdp-sesman start

Если ошибок нет, можно добавлять в автозагрузку:

sudo update-rc.d xrdp enable
sudo systemctl enable xrdp-sesman.service

Перезагружаем малину и используя это приложение входим как пользователь pi или kali:

Для атаки MITM мы будем использовать bettercap и bridge-utils, установить которые можно этой командой:

sudo apt-get install bettercap bridge-utils

Bettercap

BetterCAP – это мощная, модульная/гибкая и переносимая инфраструктура атак MITM, созданная для выполнения различных типов атак на сеть. Он способен манипулировать трафиком HTTP, HTTPS и TCP в режиме реального времени, анализировать учетные данные и тд. Он был полностью переписан в 2018 году, кроме MITM так же обеспечивает мониторинг сети 802.11, BLE и многое другое. Тестеры на проникновение, реверс-инженеры и исследователи кибербезопасности могут найти этот инструмент очень полезным.

Выпуск второго поколения BetterCAP, в котором полностью реализована самая полная и усовершенствованная инфраструктура атак «человек посередине», поднимает такие атаки на совершенно новый уровень.

Bettercap перешел от приложения Ruby к скомпилированному приложению Go, которое позволяет работать даже на слабом оборудовании, обеспечивая при этом проксирование сотен соединений в секунду и пересылку десятков сотен пакетов. Благодаря смене языка и другим применяемым методикам, выросла производительность, оптимизировано использование ЦПУ и памяти. Чтобы автоматизировать работу программы и упростить использование, теперь применяются каплеты, которые управляют работой bettercap и её модулями. Примеры каплетов собраны в репозитории https://github.com/bettercap/caplets, вот некоторые из них:

“DNS Spoofing” – или “отравление DNS”

Этот метод даёт возможность не только добыть данные для авторизации на интернет ресурсе, но и получить полноценный удалённый доступ.

Хост, получив доменное имя, на которое необходимо попасть, обращается к DNS серверу, который в свою очередь указывает IP адрес, к которому привязано это доменное имя. Таким образом хост получает адрес, по которому сможет найти указанное доменное имя.

Суть метода в подмене IP адреса, к которому привязано доменное имя. То есть атакующий выставляет себя в качестве DNS сервера и отправляет необходимые IP адреса, а в случаях необходимости меняет IP адреса на нужные. Таким образом хост, запросивший IP адрес к доменному имени, получает поддельный IP адрес и, будучи уверенным что IP адрес верный, обращается к нему и попадает на заведомо ложный сервер.

Фишинг атака с отравлением DNS сервера имеет наибольшую продуктивность, так как, переходя на поддельную страницу веб ресурса, человек видит правильное доменное имя, которое ничем не отличается от настоящего, но сервер уже у атакующего. Находится на этом сервере всё что угодно. Человек вводит свои авторизационные данные и эти данные попадают к атакующему в чистом и правильном виде. Если фишинговая страница сделана правильно, с проверкой авторизационных данных и автоматической переадресацией на уже авторизированную страницу, то правильность данных 100% и никаких подозрений у атакуемого не возникнет.

Таким же образом можно заставить “обновить” свой софт, тем самым заразить удалённый хост и получить полноценный удалённый доступ. Это тоже будет фишинговая атака с отравлением DNS сервера и в основном она будет рассчитана на элементы СИ, но можно обойтись и без участия действий человека, на которого проводится атака.

Суть в подделке сервера путём DNS отравления, к которому обращается программа за обновлениями. Программа, запросив IP адрес, к которому привязано доменное имя, получает IP адрес сервера атакующего, на котором уже находятся заражённые файлы. Программа полагая что обновления появились, сама их скачивает и устанавливает на атакуемый хост без участия человеского фактора. Таким образом заражение удалённого хоста происходит незаметно, а атакующий имеет полноценный удалённый доступ. Конечно же если цель атакующего была именно удалённый доступ.

В DNS отравление минимум задействовано два модуля, это dns.spoof и arp.spoof.

Внедрение BeEF

BeEF – это платформа эксплуатации веб-браузеров. Для начала эксплуатации необходимо внедрить в веб-страницу JavsScript код. Каплеты beef-passive.cap и beef-active.cap делают именно это. Внедрением управляет файл beef-inject.js, поэтому если вы хотите изменить адрес или порт JavsScript файла, то нужно отредактировать именно этот файл.

Перед началом данной атаки вам нужно самостоятельно запустить службу BeEF, либо отредактировать каплеты, добавив туда соответствующую команду.

Первый каплет внедряет пассивно, второй – активно, используя перенаправление трафика с других хостов с помощью ARP-спуфинга.

Внедрение майнера

crypto-miner.cap внедряет майнер (файл). Вам самостоятельно нужно ввести свой ключ, отредактировав файл crypto-miner.js.

Замена загружаемого файла на полезную нагрузку

Каплет download-autopwn.cap в зависимости от атакуемого устройства подсовывает ему подходящий файл. Настройка выполняется в download-autopwn.cap. В паре идёт файл download-autopwn.js, который предназначен НЕ для внедрения в браузер, он используется в качестве скрипта для модуля http.proxy (т.е. управляет поведением bettercap и манипуляцией трафиком).

Кража паролей Facebook

Каплет fb-phish.cap показывает фальшивую страницу входа Facebook на 80 порту, прерывает попытки входа, используя http.proxy, печатает учётные данные и перенаправляет цель на реальный Facebook.

В паре идёт файл fb-phish.js, который является скриптом для модуля http.proxy.

Вам самим нужно позаботится о создании фейковой страницы входа и запуске сервера. В этом вам поможет файл с инструкциями Makefile, если у вас скачан репозиторий каплетов, в командной строке выполните:

cd caplets/www/
make

И уже после в bettercap:

set http.server.address 0.0.0.0
set http.server.path caplets/www/www.facebook.com/
set http.proxy.script caplets/fb-phish.js
http.proxy on
http.server on

Продолжение следует...

Понравилось - подпишись. Больше интересного на Onion Dolphin