В новой версии Перехватчик-НГ стало возможным провести полноценную атаку на протокол SSH-2. Злоумышленник получает авторизационные данные пользователя и протоколирует весь сеанс связи, запуск команд и результат их выполнения.
Для этого Intercepter перенаправляет трафик жертвы на собственный ssh-сервер и в случае успешной авторизации проксировать соединение с исходным сервером.
Если терминальная программа жертвы имела кешированный отпечаток ключа с удаленного сервера, тогда в момент авторизации будет выдано предупреждение о его изменении.
Это единственный подозрительный момент, который возникает во время приступа.
К счастью для злоумышленника, не все (даже опытные) люди правильно отреагируют на это предупреждение.
До сих пор атака на SSH носила скорее теоретический характер из-за отсутствия ее практической реализации.
Причем атакуемый пользователь не всегда является администратором ssh-сервера; смена ключей и предупреждения не имеют для него никакого значения.
Встроенный ssh-сервер в Intercepter поддерживает 2 механизма аутентификации: пароль И интерактивная клавиатура .
Во время сеанса связи пользователь может запускать псевдографические приложения (например mc), все будет работать корректно.
Перехватчик также отслеживает сообщение WINDOW_CHANGE, и при изменении размера окна терминала вся графика будет перерисована до нового размера.
Атака рассчитана только на терминальную сессию, SFTP не поддерживается.
Если жертва все-таки запустит SFTP-сессию, авторизация будет перехвачена, но затем соединение будет разорвано, а сессия будет помечена особым образом.
При повторном подключении Intercepter пропустит этот сеанс напрямую, позволяя жертве нормально установить сеанс SFTP с исходным сервером.
Стоит помнить, что при проксировании ssh-соединения злоумышленник неизбежно оставляет свой IP-адрес в логах сервера.
В режиме экспертных настроек вы можете установить соответствующую опцию, которая заставит ssh-сервер разрывать соединение сразу после перехвата логина и пароля.
После этого желательно остановить атаку и позволить жертве спокойно подключиться к нужному серверу.
Для защиты от атак вы можете использовать неподдерживаемый в настоящее время режим аутентификации с открытым ключом.
И конечно, больше внимания уделяйте предупреждениям об изменении отпечатков клавиш.
ОБНОВЛЯТЬ: Аутентификация с открытым ключом не подвержена атакам и гарантирует безопасное соединение с сервером.
Видео демонстрация атаки Информация предоставлена исключительно в ознакомительных целях.
Автор не несет ответственности за возможный вред, причиненный материалами данной статьи.
Теги: #ssh mitm #intercepter-ng #sniffer #информационная безопасность
-
Переезд В Индию
19 Oct, 24 -
Во Всем Мире Оплата Только Биткойнами
19 Oct, 24
