Intercepter-NG 2.5 für Android veröffentlicht

Ja, Intercepter lebt noch! Und nach einer langen Pause freue ich mich, eine neue Version vorstellen zu können.

Anfänglich bestand die Aufgabe darin, die Benutzeroberfläche zu kämmen, Fehler zu beheben, einige Innovationen einzuführen und die Leistung neuer Android-Versionen zu testen.

Was kam daraus - unter dem Schnitt.

Damit. Verbessertes Erscheinungsbild und Benutzerfreundlichkeit der Anwendung. Die angezeigten Informationen werden durch Farben begrenzt, die Textgröße wird durch Gesten geändert, Sie können mithilfe von Wischen zwischen Registerkarten wechseln und eine Vibrationsreaktion wird hinzugefügt.

Routing-Regeln und iptables werden vor Arbeitsbeginn automatisch gespeichert und nach Abschluss wiederhergestellt.

Um unnötige Erwartungen zum Zeitpunkt des Starts zu vermeiden, wird das Ergebnis des vorherigen Scans für das aktuelle Netzwerk angezeigt. Außerdem wird beim Start ein schneller Vorscan durchgeführt, um ein erneutes Scannen zu vermeiden, wie dies in früheren Versionen erforderlich war. Der Scanvorgang wurde verbessert und eine neue Methode zum Auflösen von Namen hinzugefügt. Funktion zum automatischen Speichern von Namen hinzugefügt. Wenn es während des Scans nicht möglich war, den Namen des Geräts zu ermitteln, wird es aus dem Cache entnommen.

Den Einstellungen wurde eine Diagnoseschaltfläche hinzugefügt. Bei Problemen können die angezeigten Informationen die Suche nach einer Lösung erleichtern. Insbesondere wird der SELinux-Status überprüft. Intercepter schaltet setenforce beim Start automatisch auf 0 um. Wenn also Enforcing in der Diagnose enthalten ist, bedeutet dies, dass wir es auf diesem System nicht ausschalten und Sie nicht auf den ordnungsgemäßen Betrieb warten sollten. Diese Situation tritt beispielsweise bei Standard-Firmware von Samsung auf. Dies wird durch die Installation von ROMs von Drittanbietern, beispielsweise LineageOS, gelöst.

Der neue Intercepter läuft auf allen Architekturen ab Android 4.4. Die Haupttests wurden unter Android 9 und 10 durchgeführt, es sollte keine Unterschiede in der Arbeit an früheren Versionen geben. Keine zusätzliche Installation von BusyBox und SuperSU erforderlich. Genug Magisk oder andere integrierte Root-Manager. Libpcap wurde auf Version 1.9.1 aktualisiert. Ab Android 8.1 müssen Sie Zugriff auf Standortdaten gewähren, um die Netzwerk-SSID zu erhalten (diese wird auf dem Startbildschirm angezeigt). Sie können sie nicht bereitstellen, dies hat keine Auswirkungen auf die Funktionalität des Programms.

Verbesserter SSLStrip-Code, HSTS-Spoofing hinzugefügt.

Der vorhandene Port-Scanner wurde von der Originalversion für Windows in einen vereinfachten X-Scan konvertiert. Eine Überprüfung auf SSL wird auf offene Ports angewendet, dann wird das Service-Banner angezeigt (falls verfügbar) und der Port wird auf Zugehörigkeit zum HTTP-Protokoll überprüft.
In diesem Fall werden Informationen aus verschiedenen HTTP-Headern ausgegeben.

Wenn Port 445 geöffnet ist, wird versucht, die Betriebssystemversion über eine SMB-Anforderung zu lesen. Zusätzlich wird eine Überprüfung auf das Vorhandensein der EternalBlue-Sicherheitsanfälligkeit gestartet.

Jetzt möchte ich über eine neue Funktionalität sprechen, die zu etwas wirklich Großem werden kann, wenn die Community die Idee aktiv unterstützt.

Durch einen regelmäßigen ARP-Scan erhalten wir ein Paar IP: MAC. Anhand der MAC-Adresse können wir den Hersteller der Netzwerkkarte bestimmen, anhand der ICMP-Anfrage den TTL-Wert ermitteln und allgemein den Betriebssystemtyp bestimmen: Windows (128), Unix (64) oder etwas Selteneres - Cisco IOS (255) . Wenn das getestete Gerät über offene TCP-Ports verfügt, können wir die TCP-Fenstergröße ermitteln und Windows XP bereits von Windows 7 oder Linux von FreeBSD trennen.

Nach diesem Schema wurde das Betriebssystem in früheren Versionen von Intercepter bestimmt.

Um die Möglichkeiten zur Bestimmung des Betriebssystems zu erweitern, wandte ich mich dem passiven Fingerabdruck zu, der viele Jahre lang einfach ignoriert wurde. Die relevanteste Anwendung mit einer relativ frischen Basis ist Satori. Sowohl Satori als auch p0f (ein weiteres bekanntes Tool) arbeiten genauso wie oben beschrieben, nur werden zusätzlich zu zwei Markerwerten eine Reihe anderer IP- und TCP-Headerfelder sowie TCP-Optionen, deren Wert und Reihenfolge analysiert. Der resultierende Fingerabdruck ist eine Zeile der folgenden Form: 64240: 128: 1: 52: M1460, N, W8, N, N, S: T. Dies ist ein Fingerabdruck für Windows 10, der auch für Windows 7 relevant ist.

Nach sorgfältiger Prüfung der gesamten Fingerabdruckdatenbank auf das TCP-Protokoll wurde klar, dass die Verwendung der Datenbank die Genauigkeit der Ermittlung des Betriebssystems wirklich verbessern kann, die anfänglichen Erwartungen jedoch nicht erfüllt wurden, da Viele Ausdrucke sind für mehrere Versionen von Betriebssystemen geeignet, daher ist es äußerst schwierig, eine Auswahl unter einer Reihe von Optionen zu treffen.

Ursprünglich wurden solche Fingerabdrucksysteme als universelle Methode zur Bestimmung des Betriebssystems entwickelt, die auf Datenverkehr aus verschiedenen Netzwerken, einschließlich globaler Netzwerke, anwendbar ist,
wobei ein Parameter wie die MAC-Adresse nicht von Bedeutung ist. Intercepter arbeitet jedoch ausschließlich in einer Ethernet-Umgebung, in der jedes Gerät direkt zugänglich ist und über einen eindeutigen MAC verfügt.

Wenn wir die ersten 3 Bytes der MAC-Adresse zum TCP-Fingerabdruck hinzufügen, erhalten wir einen nahezu eindeutigen Datensatz, mit dem wir nicht so sehr das Betriebssystem als das Gerätemodell mit hoher Genauigkeit bestimmen können! Dies gilt mindestens für Smartphones, Tablets und andere Büronetzwerkgeräte wie Router, Drucker usw. Auf diese Weise erhöhen wir die Vorteile der Verwendung von Netzwerkfingerabdrücken erheblich. Die einzige Schwierigkeit besteht darin, die Datenbank der Aufzeichnungen zu sammeln ...

Das Problem wird auf verschiedene Arten gelöst:

1.

Den Intercepter-Einstellungen wurde eine Schaltfläche hinzugefügt, die einen Fingerabdruck für Ihr Gerät generiert. Kopieren Sie ihn einfach und senden Sie ihn mir per E-Mail.

Die Hauptsache ist, sicherzustellen, dass die Randomisierung der MAC-Adresse deaktiviert ist, da sonst der Fingerabdruck völlig unbrauchbar wird.

Vorteile : erfordert keine besonderen Gesten.
Nachteile : Es werden nur Android-Geräte mit Root-Rechten gedruckt.

2.

X-Scan. Wenn mindestens ein Port offen ist, wird nach Abschluss des Scans ein Fingerabdruck für das untersuchte Gerät angezeigt, der automatisch in die Zwischenablage kopiert wird. Wenn Sie die Möglichkeit haben, die Betriebssystemversion und / oder das Gerätemodell herauszufinden, unterschreiben Sie den Fingerabdruck und senden Sie ihn per E-Mail.

Vorteile : Zusätzliche Informationen, die in diesem Modus angezeigt werden, können dazu beitragen, das Modell des Geräts zu bestimmen und einen Aufdruck zu erstellen, auch wenn Sie nicht wissen, was sich vor Ihnen befindet.
Nachteile : geringe Abdeckung, ein Druck pro Scan.

3.

Intercepter-NG 1.0+. Ich habe ein kleines Update veröffentlicht, indem ich die Fingerabdruckausgabe bei Smart Scan hinzugefügt habe. Es gibt verschiedene Korrekturen und Verbesserungen gegenüber der vorherigen Version 1.0, einschließlich des Checkers für EternalBlue, der zu X-Scan hinzugefügt wurde. Die Oui-Datenbank wurde aktualisiert. Denken Sie daran, npcap zu installieren.

Vorteile : Ermöglicht das gleichzeitige Abrufen von Fingerabdrücken für eine große Anzahl von Geräten im Netzwerk.
Nachteile : Eine begrenzte Liste der am häufigsten verwendeten Ports wird gescannt.

Ein Beispiel für einen vollständigen Fingerabdruck: CC2DE0; 14480: 64: 1: 60: M1460, S, T, N, W5: ZAT = Linux 3.x; MikroTik RB750Gr3

In der Anfangsphase sind Fingerabdrücke auch von herkömmlichen Computersystemen erforderlich, die kein bestimmtes Modell haben. Es ist notwendig, die sogenannten generischen Fingerabdrücke aufzufüllen, die die Familie von Betriebssystemen verschiedener Versionen kombinieren.

Diese Datenbank ist nicht nur für die Verwendung in Intercepter nützlich, sondern auch für jedes andere Projekt, das sich mit Verkehrsanalysen befasst, z. B. NetworkMiner, das in der Computerforensik verwendet wird. Bestehende Grundlagen für die passive Betriebssystemerkennung durch TCP-Fingerabdrücke sind sehr veraltet oder weisen eine unzureichende Anzahl von Einträgen auf. Es gibt nmap, das auf die eine oder andere Weise aktualisiert wird, aber bei nmap geht es um aktives Scannen, eine ganz andere Geschichte ...

Intercepter bietet eine bequeme und schnelle Möglichkeit, Fingerabdrücke zu sammeln, ohne fundierte IT-Kenntnisse zu benötigen - führen Sie einen Scan durch, kopieren Sie den Fingerabdruck - signieren Sie, senden Sie. Stück Kuchen.

Ich gebe das Instrument und was als nächstes zu tun ist, liegt bei Ihnen ...

Viele interessieren sich für das Schicksal der Windows-Hauptversion. Ein vollwertiges Update wird sicherlich veröffentlicht, aber wann - es ist noch unbekannt.

Ich danke AndraxBoy und anderen Benutzern von w3bsit3-dns.com für ihre Hilfe beim Testen. Besonderer Dank geht an Magomed Magomadov und Alexander Dmitrenko.

Fragen, Wünsche und Ausdrucke können an intercepter.mail@gmail.com gesendet werden. Für Fingerabdrücke müssen Sie das Thema Fingerabdruck angeben.

Site: sniff.su
Spiegel: github.com/intercepter-ng/mirror
Mail: intercepter.mail@gmail.com
Twitter: twitter.com/IntercepterNG
Forum: intercepterng.boards.net
Blog: intercepter-ng.blogspot.ru