Да, Перехватчик еще жив! И после долгого затишья рад представить новую версию.
Изначально стояла задача почистить интерфейс, исправить ошибки, внести некоторые нововведения и протестировать работоспособность на новых версиях Android. Что из этого получилось — под катом.
Так.
Улучшен внешний вид приложения и повышено удобство использования.
Отображаемая информация ограничена цветами, изменение размера текста осуществляется с помощью жестов, переключаться между вкладками можно свайпами, также добавлен виброотклик.
Правила маршрутизации и iptables автоматически сохраняются перед началом работы и восстанавливаются по завершении.
Чтобы избежать ненужных ожиданий, в момент запуска отображается результат предыдущего сканирования текущей сети.
При запуске также выполняется быстрое предварительное сканирование, чтобы исключить необходимость повторного сканирования, как это требовалось в предыдущих версиях.
Улучшен процесс сканирования и добавлен новый метод разрешения имен.
Добавлена функция автоматического сохранения имен.
Если при сканировании не удалось определить имя устройства, оно будет взято из кэша.
В настройки добавлена кнопка диагностики.
Если возникают проблемы, отображаемая информация может облегчить поиск решения.
В частности, проверяется статус SELinux. Intercepter автоматически переключает setenforce в 0 во время запуска, поэтому, если диагностика показывает статус Enforcing, это означает, что его нельзя отключить в этой системе и на корректную работу рассчитывать не стоит. Такая ситуация возникает, например, на стоковой прошивке от Самсунга.
Решается установкой сторонних ПЗУ, например LineageOS. Новый Intercepter работает на всех архитектурах, начиная с Android 4.4. Основное тестирование проводилось на Android 9 и 10; различий в работе с более ранними версиями быть не должно.
Дополнительная установка BusyBox и SuperSU больше не требуется.
Достаточно Magisk или других встроенных root-менеджеров.
Libpcap обновлен до версии 1.9.1. Начиная с Android 8.1, чтобы получить SSID сети (он отображается на главном экране), необходимо предоставить доступ к данным о местоположении.
Их не обязательно предоставлять; на функциональность программы это никак не влияет.
Доработан код SSLStrip, добавлен спуфинг HSTS. 
Существовавший ранее сканер портов был преобразован в упрощенный X-Scan из оригинальной версии для Windows. К открытым портам применяется проверка на наличие SSL, затем отображается служебный баннер (при его наличии) и проверяется принадлежность порта к протоколу HTTP.
Если да, отображается информация из различных заголовков HTTP.
Если порт 445 открыт, то инициируется попытка прочитать версию ОС через SMB-запрос.
Дополнительно запускается проверка на наличие уязвимостей EternalBlue. 
Теперь я хочу поговорить о новом функционале, который может перерасти во что-то действительно большое, если сообщество активно поддержит эту идею.
Выполняя обычное сканирование ARP, мы получаем пару IP:MAC. По MAC-адресу мы можем определить производителя сетевой карты, через ICMP-запрос можем получить значение TTL и определить в общих чертах тип операционной системы: Windows (128), Unix (64) или что-то более редкое — Cisco ИОС (255) .
Если исследуемое устройство имеет открытые TCP-порты, то мы можем получить TCP Window Size и уже отделить Windows XP от Windows 7 или Linux от FreeBSD. Именно по такой схеме определялась операционная система в предыдущих версиях Intercepter. В попытке расширить возможности обнаружения ОС я обратился к пассивному снятию отпечатков пальцев, который многие годы просто игнорировал.
Самое актуальное приложение с относительно недавней базой — Satori. И Satori, и p0f (еще один известный инструмент) работают точно так же, как описано выше, только помимо двух значений маркера анализируется ряд других полей заголовков IP и TCP, а также параметры TCP, их значение.
и последовательность.
Результирующий отпечаток представляет собой следующую строку: 64240:128:1:52:M1460,N,W8,N,N,S:T. Это отпечаток для Windows 10, который актуален и для Windows 7. Внимательно изучив всю базу отпечатков пальцев для протокола TCP, стало ясно, что с его помощью действительно можно повысить точность определения ОС, однако первоначальные ожидания не оправдались, т.к.
многие отпечатки подходят для нескольких версий операционных систем, поэтому выбрать среди множества вариантов крайне сложно.
Изначально подобные дактилоскопические системы создавались как универсальный способ определения ОС, применимый к трафику из разных сетей, в том числе глобальных, где такой параметр, как MAC-адрес, не имеет значения.
Но Intercepter работает строго в среде Ethernet, где каждое устройство доступно напрямую и имеет уникальный MAC-адрес.
Если мы добавим к TCP-отпечатку первые 3 байта MAC-адреса, то получим практически уникальную запись, позволяющую с высокой степенью точности определить не столько операционную систему, сколько модель устройства! Как минимум это касается смартфонов, планшетов и других сервисных сетевых устройств, таких как роутеры, принтеры и так далее.
Таким образом мы значительно увеличиваем преимущества использования сетевых отпечатков пальцев.
Единственная сложность – собрать базу данных записей.
Проблема решается несколькими способами:
1.
В настройки Перехватчика добавлена кнопка, генерирующая отпечаток пальца вашего устройства; просто скопируйте его и пришлите мне по электронной почте.Главное — убедиться, что у вас отключена рандомизация MAC-адресов, иначе отпечаток пальца будет совершенно бесполезен.
плюсы : не требует особых движений.
Минусы: дает отпечаток пальца только для Android-устройств с root-правами.
2.
X-Скан.При наличии хотя бы одного открытого порта по завершении сканирования отображается отпечаток пальца проверяемого устройства, который автоматически копируется в буфер обмена.
Если у вас есть возможность узнать версию ОС и/или модель устройства, подпишите отпечаток пальца и отправьте его по электронной почте.
Плюсы : Дополнительная информация, отображаемая в этом режиме, может помочь идентифицировать модель устройства и сгенерировать отпечаток пальца, даже если вы не знаете, что перед вами.
Минусы: низкий охват, один отпечаток за сканирование.
3.
Перехватчик-НГ 1.0+.Я выпустил небольшое обновление, добавив вывод отпечатков пальцев при умном сканировании.
По сравнению с предыдущей версией 1.0 имеются различные исправления и улучшения, в том числе в X-Scan добавлена проверка EternalBlue, а также обновлена база данных oui. Не забудьте установить npcap. плюсы : позволяет одновременно получать отпечатки пальцев для большого количества устройств в вашей сети.
Минусы: Сканируется ограниченный список наиболее распространенных портов.
Пример полного отпечатка пальца: CC2DE0;14480:64:1:60:M1460,S,T,N,W5:ZAT=Linux 3.x; МикроТик РБ750Гр3 На начальном этапе требуются отпечатки пальцев даже с обычных компьютерных систем, не имеющих конкретной модели.
Необходимо пополнить так называемые общие отпечатки пальцев, объединяющие семейство операционных систем разных версий.
Эта база данных будет полезна не только для использования в Intercepter, она также будет полезна для любого другого проекта, занимающегося анализом трафика, например NetworkMiner, используемого в компьютерной криминалистике.
Существующие базы данных для пассивного обнаружения ОС с использованием отпечатков TCP сильно устарели или содержат недостаточное количество записей.
Есть nmap, который так или иначе обновляется, но nmap про активное сканирование, совсем другая история.
Intercepter предлагает удобный и быстрый способ сбора отпечатков пальцев, не требующий глубоких знаний в области ИТ — начните сканирование, скопируйте отпечаток пальца — подпишите, отправьте.
Кусок пирога.
Я даю вам инструмент, а что с ним делать дальше – решать вам… Многих интересует судьба основной версии Windows. Полное обновление обязательно выйдет, но когда пока неизвестно.
Хочу выразить благодарность AndraxBoy и другим пользователям 4pda за помощь в тестировании.
Особая благодарность Магомеду Магомадову и Александру Дмитренко.
Вопросы, предложения и распечатки можно отправлять на адрес [email protected]. Для отпечатков пальцев необходимо указать тему Fingerprint. Сайт: sniff.su Зеркало: github.com/intercepter-ng/mirror Почта: [email protected] Твиттер: x.com/IntercepterNG Форум: intercepterng.boards.net Блог: intercepter-ng.blogspot.ru Теги: #информационная безопасность #Android #пентест #mitm #fingerprint #intercepter-ng
-
Игра
19 Oct, 24 -
Огород В Пустыне: Солнце, Конденсат И Шпинат
19 Oct, 24 -
Google Захватывает Python
19 Oct, 24 -
Путь От Прототипа К Серийному Изделию
19 Oct, 24 -
Операция «Монетизация»
19 Oct, 24 -
Android Market: Итоги Первых 24 Часов Работы
19 Oct, 24 -
Третье Измерение Безопасности Паролей
19 Oct, 24
