Kali Linux, Kali Linux для продвинутого тестирования на проникновение, Снифферы

#104 Kali Linux для продвинутого тестирования на проникновение. Сбор учетных данных и атаки эскалации. Снифферы паролей. Responder.

Здравствуйте, дорогие друзья.

Сбор учетных данных — это процесс идентификации имен пользователей, паролей и хешей, которые можно использовать для достижения цели, поставленной организацией для тестирования на проникновение/учения красной команды. В этом разделе мы рассмотрим три различных типа механизмов сбора учетных данных, которые обычно используются злоумышленниками в Kali Linux.

Снифферы паролей

Снифферы паролей — это набор инструментов/скриптов, которые обычно выполняют атаки «человек посередине» путем обнаружения, подмены, перехвата трафика и проксирования. В этом разделе мы рассмотрим Bettercap для захвата SSL-трафика в сети, чтобы мы могли захватывать учетные данные пользователей сети. Bettercap аналогичен команде ettercap предыдущего поколения, с дополнительной возможностью выполнять подмену и перехват, на уровне сети. Его можно загрузить в Kali Linux, запустив: sudo apt install Bettercap из терминала. В период с 2018 по 2020 год Bettercap претерпел значительные изменения, чтобы сделать его совместимым с пользовательским интерфейсом и обеспечить возможность использования каплетов. Каплеты — это просто файлы .cap, в которых можно создать сценарий для достижения цели интерактивных сеансов; его можно установить или обновить, выполнив на терминале простую команду: sudo apt install Bettercap-caplets.
Этот инструмент можно использовать для более эффективной атаки «человек посередине» на данную внутреннюю сеть. В этом примере мы будем использовать один каплет со следующим сценарием для захвата паролей с подделкой ARP и DNS в оболочке BetterCap:

net.sniff on
» set http.proxy.sslstrip true
» http.proxy on
» set dns.spoof.domains www.office.com,login.microsoftonline.com,testfire.
net
» set dns.spoof.all true
» dns.spoof on
» arp.spoof on

Bettercap должен иметь возможность без проблем перехватывать весь трафик в целевой сети, как показано на рисунке ниже:

Capturing plaintext passwords on HTTP protocol using bettercap

Чтобы удалить SSL-трафик, мы можем использовать модуль https.proxy следующим образом:

Каплет hstshijack позволит злоумышленникам просматривать запросы, когда веб-сервер перенаправляет HTTP-трафик на HTTPS, а злоумышленники могут использовать перенаправления, чтобы заставить веб-сервер отвечать по HTTP. Предыдущие команды в Bettercap должны позволить злоумышленникам видеть HTTPS-трафик, как показано на рисунке ниже:

Sniffing all the encrypted URLs using the sslstrip caplet in Bettercap

Тестировщикам на проникновение следует быть осторожными при использовании BetterCap, так как это приведет к приостановке всей сети, к которой подключен Ваш Kali Linux, при запуске: arp Spoof on.

Responder

Responder — это встроенный инструмент Kali Linux для разрешения многоадресных имен Link-Local (LLMNR) и службы имен NetBIOS (NBT-NS), который отвечает на определенные запросы NetBIOS на основе запроса файлового сервера. Этот инструмент можно запустить, запустив в терминале: responder -I eth0 (имя Ethernet-адаптера вашей сети) -h, как показано на рисунке ниже:

The Responder tool’s main menu

Responder имеет возможность сделать следующее:

  • Проверить наличие локального файла хоста, который содержит какие-либо определенные записи DNS.
  • Автоматически выполнять DNS-запрос в выбранной сети.
  • Использовать LLMNR/NBT-NS для отправки широковещательных сообщений в выбранную сеть.

Злоумышленники в той же сети могут запустить Responder в сети, запустив: sudo responder –I eth0 –wF –v в терминале Kali, как показано на рисунке ниже. Responder имеет возможность настроить несколько типов серверов отдельно:

Running Responder on the local network to perform a MiTM attack

В этом примере предположим, что мы подвергаем опасности всю сеть, если устройство пытается получить доступ к файловому серверу \\. Затем произойдет перенаправление на SMB-сервер, размещенный на ответчике, для захвата имя пользователя и хеш NTLM.
Если жертвы попытаются получить доступ к IP-адресу Kali Linux или имени хоста, который подготовлен и перенаправлен респонденту, жертвы увидят всплывающее окно, показанное на рисунке ниже, и респондент захватит имя пользователя и NTLM-хеш отправленного значения:

Popup created by Responder to capture the NTLM username and password hash

Во время работы красной команды мы заметили, что группы безопасности, которые успешно идентифицировали мошенническое устройство, продолжали вводить учетные данные администратора домена для доступа к мошенническому устройству через SMB. Теперь злоумышленники используют Responder, чтобы приостановить получение результатов, включая имя пользователя NTLM и хэш, как показано на рисунке ниже:

Responder poisoning the network and capturing the username and NTLMv2 hashes

Все файлы журналов будут доступны в /usr/share/responder/logs/, а имя файла журнала будет таким: SMB-NTLMv2-SSP-.txt. Затем его можно передать непосредственно в John the Ripper или hashcat, запустив john SMBv2-NTLMv2-SSP-.txt для автономного взлома захваченного NTLM-хеша или hashcat –m 5600 SMB-NTLVMv2-SSP-.txt <список слов>. Если бы словарь содержал пароль, то он был бы взломан, как показано на рисунке ниже для hashcat:

Successfully cracking the NTLMv2 SMB password for the user

На этом все. Всем хорошего дня!

Полный цикл статей по Kali Linux для продвинутого тестирования на проникновение.