サンドボックスウォーズ-パート3. ARPスプーフィング、MACアドレスによるフィルタリングの無益さ、および署名のないソフトウェアをインストールする危険性

以前の記事（ 1、2 ）の公開から1年以上が経過し、最近になって状況が改善されたため、新しい攻撃の理由があります。



今回は、ネットワークインフラストラクチャへの物理的なアクセスはありません。 Wi-Fiインターネットアクセスが可能なラップトップのみがあります。 被害者である寮の隣人は、イーサネット経由で別のアクセスポイント（DIR-320）に接続されていますが、そのポイントに接続するためのパスワードはほとんどの人が知っています。 その所有者は、アクセス制御の手段としてMACアドレスフィルタリングを使用し、必要に応じてデータベースにアドレスを追加および削除することを好みます。 私のMACアドレスは許可リストにありません。



OK、接続して、いくつかのテストを実行すると、MACアドレスのフィルタリングがネットワークレベルでのみ発生することがわかります。つまり、アクセスポイントは拒否しません。

• フレームをイーサネットセグメントに転送し、応答を配信する
• ARP要求に応答し、ARP応答を受信する

アクセスポイントが行うことを拒否する唯一のことは、ネットワークレベルで見知らぬ人と対話することです。つまり、DHCPを介してIPアドレスを提供せず、pingを実行できず、インターネットを介してインターネットにアクセスすることもできません。

ARPスプーフィング

ARPおよびARPスプーフィングが何であるかを知らない人のための、小さな教育プログラム。 IPアドレスが使用されるネットワーク層は、データリンク層で使用されます（ネットワークカードの製造元が指定したMACアドレスを使用します）。 IPパケットを送信する場合、コンピューターはそれをイーサネットフレームにラップして、受信者（またはゲートウェイ）のMACアドレスを示す必要があります。 受信者のMACアドレスを見つけるために、コンピューターは「Computer with ip abcd、respond！」という形式のブロードキャストARP要求を作成します。 abcdコンピューターは、「abcd is me、私のMACアドレスは00：11：22：33：44：55」の形式のARP応答で応答します。 さらに、要求がなくても応答を送信でき、処理されます。 すべてのコンピューターがIP→MACマッピングキャッシュをサポートし、機会（ARP要求/応答が受信される）ごとに更新されます。



ARPレベルでの認証はありません。これは、ARPスプーフィング攻撃の基礎です。 被害者としてルーターに自己紹介（ARP応答を送信）し、ルーターとして被害者に自己紹介してトラフィックをプロキシするだけで十分です。







ただし、アクセスポイントではインターネットに接続できないため、ARPスプーフィングの古典的なバージョン（被害者とルーターの間に立つ）は機能しません。 その場合、被害者とルーターの間ではなく、ルーターの代わりに立ち上がることができます。 市場に行き、USB-WiFiアダプターを購入し、ビルトインアダプター（IPプロトコルを無効にする）をターゲットネットワークに接続し、2番目のアダプターをインターネットに接続するために自社ネットワークに接続します。 VirtualBoxで2つのアダプターを使用して仮想マシンを作成します。最初のアダプターはブリッジによってターゲットネットワークに接続され、2番目のアダプターではNATを実行します。 ルーターの仮想マシン内でNATを構成し、そのマシンでarpspoofを実行して、ルーターのMACアドレスが変更されたことを被害者のコンピューターに確信させます。







その結果、被害者はパケットを実際のルーターに送信するのではなく、私たちのものに送信します。ルーターはそれらをインターネットにルーティングし、表示および変更できます。 ほぼ標準のARPスプーフィングスキーム。 たった1つのわずかな欠陥で-それは動作しません。 より正確に機能しますが、ネットワークの問題に被害者が気付かないほどの中断があります。



ネットワーク上のトラフィックを見ると、その理由を理解できます。 はい、被害者のルーターにアドレス192.168.0.105が私たちのものであり、IPアドレス192.168.0.1が私たちのものであることを被害者に通知します。 ただし、ネットワークには別のARPアクティビティがあります。 たとえば、ルーターは定期的にネットワーク "192.168.0.109、where are you？"にブロードキャストし、ネットワーク上にそのようなアドレスはありません。 このアクティビティの理由はあまり明確ではありません-おそらくルーターでは、外部IPからこのアドレスにポートがリークします。 しかし、ルーター側でのこのような良好な通信は、良いものにはつながりません。 被害者のコンピューターはこのブロードキャスト要求を確認し、要求は適用されませんが、キャッシュ内のルーターのMACアドレスに関する情報を更新します。 その結果、競合状態が発生し、被害者は発信パケットを自分のアドレスまたは実際のルーターのアドレスに送信します。



どうする？ ルーターは存在しないIPアドレスを非常に心配しているため、たとえば、これらのアドレスが私たちのものであることを伝えるなど、ルーターを落ち着かせる必要があります。 だから：

• 数秒に1回、ブロードキャストARP要求をセグメントのすべてのアドレスに送信して、ネットワーク上のユーザーを見つけます。
• 10秒ごとに、ネットワーク上で長い間見ていなかったIPアドレスごとに、ルーターにARP応答を送信し、このアドレスが自分のものであることを通知します

このような機能をpythonスクリプトの形式で追加し、tcpdump arpの出力が急上昇し、ARP要求と応答を送信した後、通信障害ははるかに少なくなりました。 コンピューターがネットワークに接続すると、通常、IPとIPルーターに対するARP要求で開始され、その結果、コンピューターが表示され、なりすましを停止します。 コンピューターの電源が切れると、コンピューターの電源が切れたことがわかります。 その結果、ルーターにはブロードキャストARP要求を送信して被害者のコンピューターを混乱させる理由がなくなりました。

機械を制御する

http-trafficをリッスンするか、 sslstripを使用して、ssl対応サイトのトラフィックをリッスンするために、今は興味がありません。まず、古いもので、次に、トラフィックに興味のあるものが見つかりません。 ターゲットマシンを完全に制御したい。

バックドア

最大の特権を得るには、LocalSystemに代わってバックドアプログラムを実行する必要があります。 これを行うために、Windowsサービスを記述します（C＃では、これはIDEが生成する数十行です）。 管理には、Jabberプロトコル（ agsXMPP ）を使用します。 サービスは、起動時にJabberサーバーに接続し、コマンドを待ちます。 任意のJabberクライアントを使用して管理し、チャット経由でコマンドを送信できます。 コマンドに関しては-何らかの理由で、Windowsの観点から、cmd.exeはUIを備えたプログラムと見なされ、システムサービスはユーザーと対話できません。 サービスからcmd.exeを開始することはできませんでした。 その結果、cmdシェルコマンドの代わりにC＃コードをボットに転送することが決定され、結果を解釈して返すため、かなり普遍的な「シェル」が取得されます。

インストーラー

インストーラーは実行可能ファイルとサービスライブラリを保存し、起動時に次のことを行います。

1. サービスファイルを％WINDOWS％ディレクトリの人里離れた場所に保存します
2. インストールサービス
3. http://google.com/successでHTTP GETを作成します（これが必要な理由-後で明らかになります）

設置

ここで、何らかの方法でクライアントにインストーラーを実行させる必要があります。



自動更新を見てみましょう、それらを置き換えることが可能かもしれません。 HTTPヘッダーを使用して、Operaがブラウザーとしてマシンにインストールされていることがわかりますが、判明したように、その更新はhttps経由で行われるため、できません。 Microsoftからの更新はplain-httpを介して行われますが、確かに、すべての更新ファイルには起動前にチェックされるデジタル署名がありますが、学童はMSで動作しません。



自動更新では何もできません。ユーザーの不注意だけが期待できます。 最初のダウンロード可能な実行可能ファイルにインストーラーを埋め込みましょう。



これを行うには、透過プロキシ（ Twistedでは100行強）を作成します。これは、通常の義務に加えて、次のアクションを実行します。

• リクエストURLがgoogle.com/serviceinstallerの場合、答えとして、以前に作成したインストーラーバイナリを提供します
• リクエストURLがgoogle.com/successの場合、成功について報告し、通常の正直なプロキシモードに切り替えます
• サーバーの応答コードが200の場合、Content-Typeはリスト['application / octet-stream'、 'application / x-msdownload'、 'application / exe'、 'application / x-exe'、 'application / dos-exe'に属します、「vms / exe」、「application / x-winexe」、「application / msdos-windows」、「application / x-msdos-program」、「application / binary」]、およびContent-Lengthが20メガバイトを超えない場合、 ：
  
  
  1. ダウンロードファイル
  2. 詳細な分析のために、POSTリクエストを含むファイルをメインマシンに送信します（Windowsがあるため）。
  3. クライアントにPOSTリクエストへの応答を送信します（したがって、Content-LengthおよびContent-MD5ヘッダーを修正します）

このプロキシサーバーを仮想ルーターで起動し、iptablesを使用してすべてのHTTPトラフィックをリダイレクトします。



現在、C＃でラッパープロジェクトを作成しています。このプロジェクトのメインプログラムには、リソースとして実行可能ファイルoriginal.exeが含まれています（現時点では、その名前の空のファイルのみを作成します）。 ラッパーのマニフェストには、管理者権限で実行する必要があることを記述します。 ラッパーコードは非常に簡単です。

1. google.com/serviceinstallerからダウンロードして、サービスのインストーラーを実行します
2. 組み込みリソースoriginal.exeを一時ファイルに保存して実行します

その後、補助Webサーバーを作成します。これは、受信した要求ごとに次のアクションを実行します。

1. 受信したデータをoriginal.exeファイルに保存します
2. original.exeが実行可能ファイルであり、デジタル署名がない場合、ラッパープロジェクトの再構築を開始し、コンパイル結果を返します。 それ以外の場合は、元のファイルを変更せずに返します。

これでコーディングは終わりです。 次に、すべてのコンポーネントを起動し、どのように機能するかを確認します。

1. ユーザーは、ゲーム用の何らかの種類のインストーラーまたは他のものをダウンロードしようとしています（インターネット上には、非常に便利で人気のあるプログラムである同じNotepad ++があります）
2. プロキシサーバーは、HTTP要求を受信し、サーバーに送信し、サーバーから応答ヘッダーを受信し、ダウンロードしたファイルがインストーラーを導入する可能性のある候補であることをヘッダーから確認します
   
   
3. プロキシサーバーはファイルを最後までダウンロードし、インジェクションサーバーに送信します
4. インジェクションサーバーは、これが実際に実行可能ファイルであることを確認し（アプリケーション/オクテットストリームを転送するのに十分ではない）、ファイルが署名されていないことを確認するため、露出の危険なしに変更できますそれらはサイトに投稿されます）
   
   
5. インジェクションサーバーは、元の実行可能ファイルを埋め込むことでラッパーバイナリをコンパイルし、プロキシサーバーに結果を返します
6. プロキシはファイルをクライアントに提供します（ソースファイルは20メガバイト以下であるため、クライアントは何も疑いません。つまり、前の3つのポイントがダウンロードの開始を数秒遅らせただけです）
7. クライアントはダウンロードされたファイルを起動し、UACリクエストを受信し（元のファイルとまったく同じ）、それを受け入れます。
8. インストーラーがダウンロードされて起動され、汚い作業を行い、成功を報告します
9. 元のインストーラーが起動します

すべてを実行して、私たちは待っています。 そして、数日後、インジェクションサーバーログに次のように表示されます。







プロキシサーバーのログ：







今、あなたは隣人のところに行って、彼のコンピューターでできるトリックを見せることで彼を喜ばせることができます（再開、オーディオシステムから怖い音を出すなど）。

結論

• MACアドレスフィルタリング。 彼女に頼らないでください。 クラッカーからは保存されません。 あなたの費用でインターネットを使用したい学生からも、彼は単にMACアドレスを盗聴者のいずれかに変更します。
• ARPスプーフィング。 SOHOルーターであっても、それから身を守ることができます。 たとえば、一般的なDlink DIR-300 / 320デバイスの場合、 ゲストゾーンを有効にして、クライアントを相互に分離できます。
• MITM。 安全でない通信を使用しないでください（ たとえば、ICQはクリアテキストでパスワードを送信しますが、vk.comもこれを行うようです。UPD ：ICQとvkはすでに認証にSSLを使用しています）。 インストーラーをダウンロードする必要がある場合は、httpsからダウンロードします。 http経由でのみ配布される場合は、ファイルのデジタル署名をダウンロードした後に確認します。 デジタル署名がない場合は、サイトに示されているチェックサムとチェックサムを確認します（別のインターネットチャネルを介してサイトのチェックサムを確認することをお勧めします）。
• アンチウイルス。 彼に頼らないでください、人は常にプログラムよりも賢くなります。 ここで別のウイルス対策がどうなるかはわかりませんが、被害者のコンピューター上にあるMicrosoft Security Essentialsは上記のすべての操作に反応しませんでした。
• 道徳。 私は最初の部分からアドバイスを繰り返します。「悪者」にならないでください。あなたの隣人が被害者を探しているだけかもしれません。

______________________

テキストは、©SoftCoder.ruのHabr Editorで作成されます。