среда, 12 июня 2013 г.

MiTM атака на SSH


В новой версии Intercepter-NG появилась возможность провести полноценную атаку на SSH-2 протокол. 

Атакующий получает данные авторизации пользователя и логирует весь сеанс связи, запуск команд и результат их выполнения.Для этого Intercepter перенаправляет трафик жертвы на свой собственный ssh сервер и в случае успешной авторизациипроксирует соединение до оригинального сервера. Если терминальная программа жертвы имела кешированный фингерпринт ключа от удаленного сервера, то в момент авторизации будет выдано предупреждение о его изменении.
Это единственный подозрительный момент который возникает при проведении атаки.

К счастью атакующего, далеко не все (даже опытные) люди среагируют на это предупреждение должным образом. До сегодняшнего дня атака на SSH была скорее теоретической, по причине отсутствия ее практической реализации.

И далеко не всегда атакуемый пользователь является администратором ssh сервера, для него смена ключей и предупреждения не имеют никакого значения.

Встроенный в Intercepter ssh сервер поддерживает 2 механизма аутентификации: password и keyboard-interactive.

Во время сеанса связи пользователь может запускать псевдографические приложения (например mc), все будет работать корректно. Так же Intercepter следит за сообщением WINDOW_CHANGE и при ресайзе окна терминала вся графика будет перерисована под новый размер.

Атака рассчитана только на терминальный сеанс, SFTP не поддерживается. Если жертва все-таки запустит SFTP сессию, то будет перехвачена авторизация, но затем соединение будет разорвано и сессия отметится особым образом. При повторном соединении Intercepter пропустит эту сессию напрямую, позволив жертве нормально установить SFTP сеанс с оригинальным сервером.

Стоит помнить, что при проксировании ssh соединения, атакующий неминуемо оставляет свой ip адрес в логах сервера. В режиме экспертных настроек можно установить соответствующую опцию, которая заставит ssh сервер разрывать соединение сразу после перехвата логина и пароля. После этого желательно остановить атаку и позволить жертве спокойно соединиться с нужным сервером.

Видео демонстрация атаки


Информация представлена в ознакомительных целях. Автор не несет ответственности за любой возможный вред, причиненный материалами данной статьи.

Комментариев нет:

Отправить комментарий