Intercepter-NGの新しいバージョンには、SSH-2プロトコルに対する完全な攻撃を実行する機会があります。
攻撃者はユーザー認証データを受信し、通信セッション全体、コマンドの起動、および実行結果を記録します。
これを行うために、Intercepterは被害者のトラフィックを独自のsshサーバーにリダイレクトし、認証が成功した場合に
元のサーバーへの接続をプロキシします。
被害者の端末プログラムにリモートサーバーからのキーのキャッシュフィンガープリントがあった場合、
その後、承認時に変更に関する警告が発行されます。
これは、攻撃中に発生する唯一の不審な瞬間です。
攻撃者にとって幸いなことに、すべての(経験豊富な)人々がこの警告に適切に応答するわけではありません。
今日まで、SSHへの攻撃は、その実用的な実装がないため、かなり理論的なものでした。
そして、常に攻撃されたユーザーはsshサーバーの管理者であり、キーと警告の変更は重要ではありません。
組み込みのIntercepter sshサーバーは、 パスワードとキーボード対話型の 2つの認証メカニズムをサポートしています 。
通信セッション中に、ユーザーは擬似グラフィックアプリケーション(mcなど)を実行でき、すべてが正常に機能します。 IntercepterはWINDOW_CHANGEメッセージも監視し、ターミナルウィンドウのサイズを変更すると、すべてのグラフィックが新しいサイズに再描画されます。
攻撃は端末セッションのみを対象としており、SFTPはサポートされていません。 被害者がまだSFTPセッションを開始している場合、認証は傍受されますが、接続は切断され、セッションは特別な方法でマークされます。 再接続すると、Intercepterはこのセッションを直接スキップし、被害者は通常、元のサーバーとのSFTPセッションを確立できます。
ssh接続をプロキシするとき、攻撃者は必然的に自分のIPアドレスをサーバーログに残すことを覚えておく価値があります。
エキスパート設定モードでは、対応するオプションを設定できます。これにより、ログインとパスワードをインターセプトした直後にsshサーバーが切断されます。 この後、攻撃を停止し、被害者が目的のサーバーに安全に接続できるようにすることをお勧めします。
攻撃から保護するために、まだサポートされていない公開キー認証モードを使用できます。 そしてもちろん、キーフィンガープリントの変更に関する警告にはもっと注意を払ってください。
更新:
公開鍵認証は攻撃を受けにくく、サーバーへの安全な接続を保証します。
攻撃デモビデオ
提供される情報は、情報提供のみを目的としています。 著者は、この記事の資料によって引き起こされる可能性のある損害について責任を負いません。
MiTM SSH攻撃
All Articles