Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР 115, ИЮЛЬ 2008 г.

Снифинг в боевых условиях

Крис Касперски & Ares

Хакер, номер #115, стр. 115-060-1

Intercepter – разнюхает все!

Снифер для хакера — как катана для самурая. Вот только самураев нынче много, а достойного оружия — мало. Плохо, когда снифер отказывается работать, но еще хуже, когда он работает неправильно. Например, в упор не видит трафик или некорректно его декодирует, теряя пароли и другую жизненно важную информацию. Но сейчас волноваться не о чем – Intercepter тебе в помощь!

В нашем полку прибыло!

Поздравляем! Зарелизен новый снифер 0x4553-Intercepter отечественной разработки, распространяемый на бесплатной основе, хоть и без исходных текстов. К счастью, этот минус полностью перекрывается богатым функционалом, обгоняющим конкурентов по всем статьям. И это — с первого релиза! В последующих версиях планируется ввести в строй множество соблазнительных фич, выводящих конкуренцию в плоскость вертикального предела с полным отрывом от земли. Что ж, как говориться, поживем — увидим, а пока разберемся с тем, что уже есть.

Что в снифере твоем

Краткая характеристика: характер — нордический, тьфу, какой к черту характер? Интерфейс! А интерфейс у нас графический, можно даже сказать, интуитивно понятный, позволяющий хачить сразу же после запуска без чтения мануалов. Для начинающих хакеров — самое то! Конечно, парни поопытнее предпочитают командную строку с кучей «магических» ключей и строгое разделение обязанностей. Они мыслят так: пусть у нас будет куча мелких утилит, каждая из которых делает что-то одно. Кто-то грабит трафик, кто-то его декодирует, кто-то выдергивает из декодированного трафика пароли, а кто-то... короче, UNIX-way в чистом виде. Снифер 0x4553-Intercepter идет по пути интеграции (типа швейцарский нож «все в одном»), исповедуя концепции Windows, что, впрочем, неудивительно, поскольку он на Windows и ориентирован.

Грабеж трафика реализован через популярный пакет PCAP, перенесенный из мира UNIX'а. Многие сниферы устанавливают WinPCAP в систему, жестоко прописывая его на диске и в реестре. Это, в конечном счете, приводит к конфликтам со многими приложениями, возникающим даже при незапущенном снифере. В этом плане 0x4553-Intercepter предельно корректен. Библиотеки wpcap.dll и packet.dll он деловито носит за собой, динамически подгружая их из своего рабочего каталога строго по необходимости. А потому – операционная система остается в девственной целости.

Кстати, операционная система может быть любой из линейки NT — W2K, XP, S2K3 и, по заявлением разработчика, — Виста. Я третировал, тьфу, тестировал снифер на S2K3 – полет нормальный. Висты под рукой нет, проверять не на чем, хотя по слухам, циркулирующим на форумах, у WinPCAP'а с ней какие-то терки, так что не факт, что все заведется. Впрочем, Виста на хакерских машинах — явление редкое, если не сказать, исключительное. К тому же, если копнуть вглубь, 0x4553-Intercepter не ограничивается одной лишь Windows. Он поддерживает возможность удаленного захвата трафика посредством RPCAP-демона, обычно устанавливаемого на шлюз локальной сети и грабящего весь трафик на входе/выводе во «внешний» мир. Поскольку шлюзы нередко вращаются под управлением Linux'а или xBSD, то RPCAP-демон оказывается весьма полезен. Без него снифер превращается в игрушку, которой много не награбишь, особенно в сетях с интеллектуальными машрутизаторами, доставляющими пакеты только тем узлам, которым они непосредственно адресованы (0x4553-Intercepter способен грабить трафик даже в таких условиях, но об этом мы поговорим чуть позже).

Сниферы первых поколений работали в так называемом «сыром» режиме (raw mode). Они захватывали весь (или не весь) пролетающий мимо них трафик, который потом приходилось растягивать на пакеты, сортируя их по номерам портов/типам протоколов, а затем еще и декодировать содержимое с учетом формата конкретного протокола.

0x4553-Intercepter не только отображает награбленное в удобочитаемом виде, но и способен «выхватывать» пароли (или их хэши) из следующих протоколов: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, NNTP, CVS, TELNET, MRA, DC++, VNC, MYSQL, ORACLE.

Пароли, посланные открытым текстом (они же «plain»), готовы к использованию сразу же после перехвата. Стоп! Нельзя понимать написанное буквально. Конечно же, не сразу после перехвата, а только после завершения текущей сессии легальным пользователем-жертвой, так как повторный вход в активную сессию в 99% случаев блокируется. С хэш-суммами дело обстоит намного хуже, и без взлома (обычно осуществляемого методом перебора) тут не обойтись. Однако, у большинства протоколов криптостойкость невелика, а современные компьютеры (особенно, объеденные в botnet'ы) — чрезвычайно мощны. Достаточно воспользоваться одной из хэш-ломалок (некоторые из которых можно скачать с www.insidepro.com) и запастись терпением. По понятным причинам (нельзя объять необъятное), хэш-ломалки в состав 0x4553-Intercepter не входят.

Снифер поддерживает множество популярных мессенджеров, отображая диалог в удобочитаемом виде. В настоящий момент «перевариваются» следующие протоколы: ICQ, AIM, JABBER, YAHOO, MSN, GADU-GADU, IRC и MRA. Причем, в отличие от зарубежных сниферов, работающих преимущественно с ANSI-текстом, 0x4553-Intercepter выгодно отличается тем, что поддерживает кодировки UTF8UTF16RTF, используемые для передачи национальных символов (в том числе и кириллических). Мы проверили: 0x4553-Intercepter корректно отображает не только русские, но даже китайские письмена и арабскую вязь. А вот с некоторыми европейскими языками замечены трудности, поскольку они используют ANSI со своей локалью (читай — кодовой страницей), которая не есть уникод. В попытке вывода на экран при текущей кириллической или американской локали такая мешанина получается! Но это не проблема 0x4553-Intercepter'а. Если в сети находятся два человека, общающиеся не через уникодовые мессенджеры (или через уникодовые, но с отличной от нас локалью), то мы должны через «региональные настройки» выбрать ту же самую локаль, что у них, открыть в «Блокноте» текст, награбленный 0x4553-Intercepter'ом, и сохранить его как уникод. После чего можно возвращать русскую локаль на место и открывать файл чем угодно (с поддержкой уникода). В частности, FAR позволяет просматривать уникодовые файлы по <F3>, но для их редактирования нужно установить специальный плагин. Кстати, китайские/японские неуникодовые клиенты также используют ANSI, ну это, конечно, не совсем ANSI, но с точки зрения снифера – выглядит именно так. Чтобы прочесть захваченный текст, приходится опять-таки перенастраивать операционную систему на китайскую/японскую локаль.

Тут, кстати говоря, самое время (и место) сказать, что протокол и клиент – совсем не одно и то же. GTalk, например, использует JABBER-протокол, и хотя отсутствует в данном списке, замечательно «захватывается» снифером. Клиентов много. Намного больше, чем протоколов. Некоторые клиенты (та же Миранда) поддерживают целый легион протоколов и потому успешность перехвата зависит от того, по какому протоколу треплется конкретный пользователь. Традиционная почта (в смысле, SMTP/POP3) также захватывается и декодируется снифером. К WEB-интерфейсу сказанное не относится и потому его приходится разгребать руками, лапами и хвостом.

Кстати, о птичках. Для любителей поработать руками в 0x4553-Intercepter предусмотрен старый добрый «сырой» режим, отображающий трафик в hex-виде (слева цифры, справа — символы). Но прибегать к нему обычно нет нужды, поскольку сырых граберов — от хвоста и больше, и в этом плане 0x4553-Intercepter им не конкурент. То есть, конкурент, конечно, но все-таки он ориентирован на другой класс задач.

В арсенале 0x4553-Intercepter имеется множество убийственных технологий. Чего стоит только один «eXtreme mode». В этом режиме снифер грабит весь трафик, определяя типы протоколов не по номерам портов, которые могут быть изменены, а по их содержимому. Естественно, поскольку искусственный интеллект еще не изобретен, возможны ошибки — как позитивные (захват «левых» пакетов), так и негативные (пропуск полезных пакетов). Достаточно выловить лишь несколько пакетов, чтобы определить порт, зная который, можно грабить трафик и в обычном режиме. Эта фича полезна для выявления Proxy- и FTP-серверов. Остальные сервисы работают с более или менее предсказуемыми портами. POP3/SMTP на нестандартных портах встречаются крайне редко, а вот приватный FTP на нестандартном порте (типа, чтобы не засекли и не ломились всякие левые личности) — явление вполне нормальное.

Награбленный трафик может быть сохранен в pcap-формате (стандарт де-факто среди сниферов) и подвергнут дальнейшему анализу в утилитах, извлекающих информацию. Как правило, это взломщики паролей, работающие с протоколами неизвестными 0x4553-Intercepter'у. К таковым относятся многие беспроводные протоколы и нестандартные протоколы, реализованные неизвестно кем и неизвестно для чего. В любом случае, возможность экспорта трафика в общепринятый формат не помешает, тем более что 0x4553-Intercepter с радостью импортирует в себя pcap-дампы, собранные другими сниферами. Последние ловко грабят трафик, но не знающими, чего такого хорошо с ним можно сделать (где искать пароли, как декодировать сообщения мессенджеров и т.д.).

Помимо чисто сниферных функций, 0x4553-Intercepter располагает рядом весьма соблазнительных фич. Начнем с банального обнаружения узлов, которое в данном случае осуществляется отнюдь не тупым сканированием и перебором IP-адресов (даже м-а-а-аленькая локальная сеть «класса С» сканируется ну очень долго, плюс на узле могут быть закрыты все порты и запрещен ответ на ping). 0x4553-Intercepter посылает широковещательный ARP-запрос, требуя, чтобы все узлы, которые его получили, сообщили свои IP-адреса. Быстро и эффективно. Это вполне легальная операция, на которую системы обнаружения вторжений смотрят сквозь пальцы. Ну, разве что хакер не начнет от нечего делать слать запросы один за другим, что выглядит весьма подозрительно.

Причем, 0x4553-Intercepter способен выявлять остальные сниферы, многие из которых с формальной точки зрения представляют собой брандмауэры или те же самые системы обнаружения вторжений. Вот такие, с позволения сказать, «честные» сниферы в локальной сети, высаживающие администратора на измену и делающие эту фичу совершенно бесполезной для него. Вменяемые злоумышленники давно используют стелс-сниферы, требующие небольшой доработки сетевой карты, чтобы она не реагировала на пакеты, которые предназначены не ей. Простейший способ заткнуть ей рот — перерезать передающий провод в витой паре, правда, будучи запущенным на такой карте, 0x4553-Intercepter потеряет добрую половину функционала. А вот для хакеров функция обнаружения сниферов — самое то. Даже если это не система защиты, а просто человек-со-снифером, – он явно не ламер и лучше его узел не трогать, а то ведь можно и огрести. Еще неизвестно, кто круче окажется — он или мы.

Интегрированный перепрограмматор MAC-адресов — вещь полезная, хотя и без нее имеется куча утилит аналогичного назначения, в том числе и входящих в состав большинства (если не всех) дистрибутивов Linux'а и xBSD. В крупных локальных сетях идентификация хакера, как правило, осуществляется по номеру порта марштутизатора, в который воткнут его сетевой кабель. Причем, специальная сторожевая программа следит за соответствием MAC-адресов и номеров физических портов маршрутизатора, а потому – от возмездия не уйти. Если только не добраться до маршрутизатора и на время атаки не переткнуть соседние кабели, поменяв их местами. А вот в маленьких локальных сетях (особенно, с приходящими администраторами) ситуация совершенно иная. Огромное количество таких «администраторов» о MAC-адресах только слышали, но так и не врубились, зачем они нужны, ведь у нас есть замечательный лог в котором записаны IP!

Администраторы поумнее устанавливают разнообразные системы обнаружения вторжений, отображающие MAC-адреса потенциальных нарушителей и если хакер изменит свой MAC, то найти его будет весьма проблематично. Хотя не стоит забывать, что чем умнее администратор, тем более глупым он стремится выглядеть. А зачем ему понты кидать? Зато когда нагружают непрофильной работой, то отмазка: «не знаю, не умею, и вообще, совсем не в теме» — работает железно. Кстати, то же самое относится к хакерам. Чтобы хакерствовать, оставаясь при этом на свободе, достаточно прикинуться лаптем или поленом, прущимся от Visual Basic'а и шепотом называющим <ALT-CTRL-DEL> хакерской комбинацией.

Заключение

Без ложной скромности 0x4553-Intercepter претендует на роль одного из лучших сниферов. Он ориентирован на молодое поколение хакеров, влюбленных в графический интерфейс и шарахающихся от командной строки, как ладан от дьявола. Консольные сниферы их не удовлетворяют, а необходимость обрабатывать награбленный трафик кучей различных утилит — просто бесит. Что ж, спрос рождает предложение и желающие обрящут то, что так давно и безуспешно искали.

А если возникнут какие-то непонятки — то RFTM. Курим мануал путем нажатия <F1> или открываем справку, находящуюся в файле help.chm. Он написан на международном хакерском языке. Английском, в смысле.

Ну а с графического интерфейса и до командной строки недалеко. Главное — это понять основные концепции, врубиться в тему, втянувшись в первые эксперименты (а экспериментировать с 0x4553-Intercepter снифером можно оччччень долго). Когда же его функционала и гибкости будет недоставать — тогда и только тогда следует всерьез задумываться об установке Linux/xBSD и доработке имеющихся сниферов, распространяемых в исходных текстах.

Грабим самих себя

Снифер полезен не только для перехвата чужих данных, но и для анализа циркулирующего локального трафика. С его помощью можно понять, кто и куда ломится с нашей машины, например, какие данные передает система при входе в Сеть. Аналогичным образом вылавливаются спам-боты (особенно, при сниффе со шлюза) — в логе друг за другом идет отображение перехваченных писем. Шлюзовой перехват в этом плане хорош тем, что его крайне трудно замаскировать. В то же время, если зловредная программа запущена на одной машине со снифером, она может ему весьма эффективно противостоять. Потому, когда снифер говорит, что в «Багдаде все спокойно», вовсе не факт, что нас уже не поимели.

Висим? Нет, не висим — видишь, диском дрыгает!

У 0x4553-Intercepter есть еще одна полезная фича. Cain и Ufasoft sniffer при загрузке pcap-дампов «подвисают» на время их обработки, не предоставляя никаких рычагов управления для управления процессом и ничего не отображая на экране. 0x4553-Intercepter показывает текущий статус загрузки в пакетах/процентах, выводя данные параллельно с их загрузкой. Можно созерцать, а можно переключиться в другой режим, занявшись делом, или просто прерывать загрузку дампа, если нам уже понятно, что ничего интересного все равно нет.

Основные преимущества 0x4553-Intercepter'а

  • Максимально большое (среди существующих аналогов) количество поддерживаемых сервисов, у которых перехватываются пароли в открытом виде или их хэш-суммы.
  • Максимальное (среди существующих аналогов) количество поддерживаемых мессенджеров, у которых перехватываются сообщения и отображаются в удобочитаемом виде.
  • Продвинутая обработка OSCAR-протокола (используемого ICQAIM мессенджерами), учитывающая ряд тонких особенностей, приводящих к потере сообщений у большинства конкурирующих сниферов (и, в частности, Ufasoft Im Sniffer).
  • Для ICQAIMJABBER предусмотрен декодинг UTF8UTF16RTF сообщений, что полезно при перехвате национальных сообщений (читай — написанных не по-английски).
  • Зарубежные MSNGADU-GADUYAHOO захватываются как есть, без декодинга, поскольку идут в ANSI.
  • 100% перехват сообщений от mail.ru agent (зарубежные сниферы его вообще не хавают, поскольку не знают, что есть на российских просторах такой зверь).
  • Поддерживается сохранение перехваченных POP3/SMTP сообщений в .eml формате, что позволяет одним щелчком мыши импортировать их в любой почтовый клиент (Outlook Express, The Bat!).
  • Качество обработки протоколов на порядок выше, чем у конкурирующих сниферов: там, где Cain или Ettercap ничего не видит, 0x4553-Intercepter свободно «вытягивает» пароль.
  • Поддерживается уникальный режим «экстремального» сканирования (eXtreme mode), при котором сниферу достаточно указать целевой протокол без специфицирования порта — 0x4553-Intercepter будет просматривать весь трафик, автоматически «вылавливая» пакеты, относящиеся к данному протоколу, путем анализа их содержимого.
  • Поддерживается удаленный грабеж трафика через RPCAP демона, устанавливаемого на Linux/xBSD или Windows-узлах (предпочтительнее всего — на шлюзе).
  • Награбленный трафик может быть сохранен в популярном pcap-формате, «перевариваемом» многими сторонними анализаторами.
  • Поддержка GREPPPOEWIFI инкапсуляций.
  • Загрузка pcap-дампов, полученных другим снифером, с их последующей обработкой на предмет отображения содержимого протоколов в удобочитаемом виде, поиске паролей и т.д.
  • Прочие полезные функции, напрямую не относящиеся к снифингу, но косвенно связанные с ним:

ARP SCAN — поиск узлов в выбранной подсети, осуществляемый широковещательной посылкой ARP-запросов (легальный примем);

DHCP DISCOVERY — поиск DHCP-серверов (уникальная возможность, отсутствующая у конкурирующих сниферов). Знание адреса DHCP-сервера открывает путь ко многим видам атак, в том числе связанным и с перехватом трафика в сетях с интеллектуальными маршрутизаторами;

PROMISCUOUS SCAN — поиск узлов, работающий в «неразборчивом» режиме, то есть принимающих все пролетающие мимо них пакеты, даже если они адресованы другим узлам. Это (теоретически) позволяет выявить активные сниферы, а практически – дает множество ложных срабатываний, конфликтуя с брандмауэрами и другим программным обеспечением, как правило, предназначенным для выявления атак и не афиширующим тот факт, что захватывают посторонний трафик.

  • Реализован встроенный «перепрограмматор» MAC-адресов сетевых карт, воткнутых в локальную машину, что в некоторой степени затрудняет поиск злоумышленника. Однако не стоит переоценивать его возможности, поскольку администратор может со 100% надежностью определить отправителя «зловредных» пакетов по порту маршрутизатора, куда воткнут кабель, ведущий к сетевой карте хакера. Хотя об этом трюке осведомлены далеко не все администраторы и штатные средства порты маршрутизатора не отображают.
  • Интегрирован модуль для атаки типа «ARP POISON», выявляемой многими системами обнаружения вторжений, а потому реально работающей только в незащищенных локальных сетях.
  • В последующих версиях планируется добавить автоматический поиск Интернет-шлюза.

INFO

Конкуренты:

  • Cain – бесплатный, отлично работает, но в плане перехвата данных существенно уступает 0x4553-Intercepter'у по функционалу.
  • Ettercap + dsniff — оба древние, неудобные, да еще и с кучей глюков и багов. В топку!
  • Give me too + tamosoft netresident — оба платные и качество сомнительное.

WWW

DVD

На диске ищи последний (и бесплатный) релиз 0x4553-Intercepter'а!

VIDEO

На DVD мы выложили познавательный видеоурок, который научит тебя всем прелестям снифера.

 

Содержание
ttfb: 6.1650276184082 ms