пятница, 12 декабря 2014 г.

Epic fail

The situation that lead me to write this post unhides some of the problems in information security world. Few days ago i received a message with a link to ZIMPERIUM's blog post with a loud statement that they discovered a "new type of attack technique" on the loose which allows to perform full-duplex ICMP Redirect attacks on the network called "DoubleDirect".

Sounds cool, because the classic ICMP Redirect attack allows only half-duplex data sniffing. My first reaction was laughter, because they reinvented the bicycle.
Indeed, it is not a *new* technique, because for the first time it was publicly disclosed by me 3 years ago and coded even earlier. Here’s the video of an old version of the Intercepter:



And it wasn't just a POC. More to that current version of Intercepter-NG allows to perform the attack that is called "DNS over ICMP MiTM" in a few mouse clicks.

The second reaction was like "omg, what are they talking about?!" The content of the post sounded so scary:

- We have identified that the traffic of the following services was redirected during the attacks on victim’s devices:
Google, Facebook, Twitter, Hotmail, Live.com, Naver.com (Korean) and others.

- We identified attacks across 31 countries ...

These statements may startle people who know nothing about technical part of described attack.
But don't be afraid, these guys will save the world with their wonderful software, be sure.

At last, the third reaction was sadness. It is really sad that news making resources widely distributed this little "sensation", even worse the so-called “security experts” supported the noise around that topic. No one mentioned that this shit is old as hell. That's what i call the fail of security world, no one even tried to check if this technique was done before. Only 3 keywords in google "dns icmp redirect" show up the video and point out to Intercepter-NG project.

What's the reason, lazyness?

I have always been quite a humble man and didn't try to make sensations out of nothing. In fact the DNS over ICMP MiTM is not that powerful to talk much about. It was discussed during PHDays'14 as a part of report about Intercepter-NG, but only in a few words, because it's not something special.

Although i got thousands of users all over the world, it seems i have to be more aggressive in making my tool popular, so that guys like Zimperium won't mess up big time again.


вторник, 23 сентября 2014 г.

О том, что осталось за кадром

В жизни каждого "правильного" исследователя всегда есть момент, когда ты берешься за что-то, что вероятно тебе нахрен не нужно практически, но крайне интересно с образовательной точки зрения. Интересно решать задачи для расширения кругозора и повышения собственной квалификации, особенно при наличии придурковатого состояния одержимости какой-то фантастической идеей. В моем случае одной из главных одержимостей в 2002 году было желание сделать то, чего еще не существовало, а если и существовало, то работало не так как я хотел, и конечно же было сделано не мной (damn it). Эта же одержимость сподвигла на создание интерцептера, но данный пост о совсем другом проекте. В то время я желал освоить ассемблер, т.к. это язык настоящих гуру и на тот момент идея о том, что настоящий хакер должен знать ассемблер, сидела в моем сознании довольно глубоко. Слепая замена jz на jnz,
сидя в softice конечно давала некие результаты на простых приложеинях, но хотелось большего. Ничего лучше, чем написание собственного дизассемблера, с целью разобраться в этой компьютерной магии, я не придумал. Опять же, дизассемблер дизассемблеру рознь. Простой листинг инструкций меня не устраивал, я хотел получить на выходе исходник, который можно было бы тут же собрать и получить рабочий бинарник, идентичный оригинальному. Не буду вдаваться в такие специфичные проблемы как отделение данных от кода и т.д., а просто покажу что в итоге получилось.

вторник, 29 июля 2014 г.

Running original Intercepter on Linux

Instruction updated!

[1]. Download WinPcap wrapper for Wine and libpcap-dev.

# wget http://sniff.su/wine_pcap_dlls.tar.gz
# apt-get install libpcap-dev

If you running i386 version of Kali goto [3].
---

[2]. On Kali x64 do the following commands.
# dpkg --add-architecture i386
# apt-get update
# apt-get install wine-bin:i386
# apt-get install tcpdump:i386

----

[3]. Copy dlls to wine libs.
# cp wpcap.dll.so /usr/lib/i386-linux-gnu/wine
# cp packet.dll.so /usr/lib/i386-linux-gnu/wine

[4]. Install winetricks.
# apt-get install winetricks
# winetricks cc580
# ethtool --offload  eth0  rx off  tx off

[5]. Download Intercepter-NG 0.9.9 and remove wpcap\packet dlls.
# rm wpcap.dll
# rm packet.dll
# wine Intercepter-NG.exe

Intercepter-NG 0.9.9

Вышла новая версия, которую теперь можно запустить под линуксом (Wine).

Главные нововведения это LDAP Relay и новый режим сетевого брутфорса паролей.

Полный список изменений:
+ LDAP Relay
+ Heartbleed exploit
+ Java injection
+ Plugin detector
+ Bruteforce Mode: FTP\IMAP\POP3\SMTP\SMB\SSH\LDAP\HTTP
+ TFTP\SMB2 resurrection
+ Telnet\Rsh\Rlogin\Rexec logging
+ PPTP\PPPoE: PAP\CHAP-MD5\MS-CHAP\MS-CHAPv2 Auth
+ PostgreSQL Plain\MD5 Auth
+ MS-SQL Server Auth
+ MongoDB Auth
+ Wine support
+ New skin
+ New skin

понедельник, 16 июня 2014 г.

Lethal tool

Уж не знаю как правильно называется данное мероприятие, но в общем это какая-то конференция по безопасности от Microsoft, на которой уже не первый год выступают сотрудники компании Truesec и рассказывают об актуальных хакерских инструментах.
Собственно название говорит само за себя: "Hacker Tools You Should Know and Worry about in 2014".

На 11:50 и 21:30 демонстрируется Intercepter, о котором докладчики высказались как о "very very powerfull" и "lethal tool".

PS: При попытке запустить Cain, и продемонстрировать его функционал, ничего не вышло, т.к. он просто завис :)



Реинкарнация NTLM-relay или как стать администратором домена за 1 минуту

Данный пост является логическим продолжением исследований, начатых в тыц и тыц.

В первом посте я писал о старом добром SMB Relay в контексте современных условий эксплуатации.
Второй пост затрагивал новую технику под названием SMB Hijacking с помощью которой можно выполнить код даже если исходящая SMB сессия использует Kerberos.

В этот раз речь пойдет об очередной технике, в основе которой лежит классический NTLM Relay.

Ничего принципиально нового в ней нет, она отличается от SMB Relay только сервисом на который проводится перенаправление данных, но по силе воздействия эта техника невообразимо превосходит своего прародителя.

Как вы помните, в доменной сети контроллер защищен от SMB Relay достаточно простым и эффективным механизмом под названием SMB Signing, поэтому перенаправление на DC в качестве third-party host невозможно. Проблема в том, что одна из центральных систем домена Active Directory, которая снаружи выглядит как  LDAP сервер, по-умолчанию не требует обязательной подписи пакетов при удаленном сетевом взаимодействии! Мягко говоря это довольно откровенный бекдор в системе, оставленный по непонятной причине. Либо это сделано намеренно для обратной совместимости, либо сотрудники Microsoft посчитали, что  раз нет рабочих эксплойтов, то нет и повода для беспокойства.

Отсутствие инструментов для проведения NTLM релея на LDAP (Active Directory) тоже не совсем понятно. Вектор достаточно очевидный, но освещен крайне скудно, возможно исследователи просто не могли подумать, что контроллер домена может быть настолько беззащитным в конфигурации по-умолчанию.

В 2012 году на конференции Blackhat некий Zack Fasel представил свой инструмент под названием ZackAttack. Среди заявленного функционала значился и релей на LDAP. Несмотря на довольно сырую, но местами рабочую реализацию, главной заслугой Zack'а, лично для меня, стало не создание инструмента, а как раз упоминание об отсутствии обязательной подписи пакетов при работе с Active Directory. Прошло довольно много времени, прежде чем у меня дошли руки заняться этой темой, но это случилось и рабочая реализация атаки появилась в Intercepter-NG.

Для проведения атаки требуется одно единственное условие: необходимо знать за каким компьютером в данный момент работает действующий администратор домена. Атакующему даже необязательно быть членом домена, достаточно просто подключиться к сети. Как и в случае других атак, для ускорения действий в трафик атакуемого инжектится ссылка на псевдо-веб службу Intercepter'а, которая затребует NTLM авторизацию. Во время web-серфа атакуемый автоматически и незаметно для себя отправит аутентификационные данные, которые затем будут перенаправлены на Active Directory. В результате атаки будет создан новый пользователь с правами Domain Admins.

Атака успешно протестирована на серверных ОС Windows 2003 и 2008R2, но так же должна работать и на Windows 2012, т.к. политика "Domain controller: LDAP server signing requirements" аналогичным образом установлена в none по-умолчанию.



Самостоятельно опробовать проведение атаки можно будет с выходом новой версии Intercepter-NG, который запланирован на осень.

среда, 21 мая 2014 г.

PHDays started

Ну вот и пришло время, конференция началась. Напоминаю, в 17:00 Александр Дмитренко будет читать доклад "Intercepter-NG: сниффер нового поколения", в котором будут рассмотрены 3 техники: DNS over ICMP MiTM, MySql LOAD DATA LOCAL и SMB Hijacking.

Так же будет демонcтрация новых функций и сюрприз в конце выступления.



среда, 14 мая 2014 г.

Видео-тутор по http injection

Еще один хороший тутор, демонстрирующий использование http injection в Intercepter для получения полного доступа над жертвой.


Автор видео успешно применял данную схему в реальных условиях.

четверг, 13 марта 2014 г.

Intercepter-NG on BBC

Утро началось с приятной новости. Вместо привычных душераздирающих криков о том, что "ничего не работает", в комментариях на Google Play один из пользователей сообщил, что узнал о приложении благодаря телепрограмме Click на BBC (08-03-2014). Хотя название софта не оглашалось и даже затерлось на видео, цептер был представлен как приложение, "способное обойти даже https". Для демонстрации была перехвачена авторизация на amazon.




суббота, 1 марта 2014 г.

100 000 установок Android Edition

Спустя чуть более года (14 месяцев) Intercepter преодолел барьер в 100 000 установок в Google Play. Цифра конечно не большая, но принимая во внимание специфичность софта и полное отсутствие рекламы, вполне нормальная.

суббота, 8 февраля 2014 г.

Intercepter everywhere

Вот такую занятную картинку недавно затвитил товарищ i_bo0om


Полноценный андроид на руке, судя по тенденции, в ближайшие пару лет должен появиться очень вкусный девайс. Разрешения хотелось бы побольше.