Intercepter-NG 2.5 lanzado para Android

¡Sí, Intercepter todavía está vivo! Y después de una larga pausa, me complace presentar una nueva versión.

Inicialmente, la tarea era peinar la interfaz, corregir errores, introducir algunas innovaciones y probar el rendimiento en nuevas versiones de Android.

Lo que salió de eso, debajo del corte.

Entonces. Aspecto mejorado de la aplicación y usabilidad. La información que se muestra está delimitada por colores, el texto cambia de tamaño mediante gestos, puede alternar entre pestañas mediante deslizamientos y también se agrega una respuesta de vibración.

Las reglas de enrutamiento e iptables se guardan automáticamente antes de comenzar a trabajar y se restauran al finalizar.

Para evitar expectativas innecesarias en el momento del lanzamiento, se muestra el resultado del análisis anterior de la red actual. Además, se realiza un escaneo previo rápido al inicio, para eliminar la necesidad de volver a escanear, como se requería en versiones anteriores. Se ha mejorado el proceso de escaneo, se ha agregado una nueva forma de resolver nombres. Función agregada para guardar nombres automáticamente. Si durante el escaneo no fue posible determinar el nombre del dispositivo, se tomará del caché.

Se ha agregado un botón de diagnóstico a la configuración. En caso de problemas, la información mostrada puede facilitar la búsqueda de una solución. En particular, se verifica el estado de SELinux. Intercepter cambia automáticamente setenforce a 0 durante el inicio, por lo que si el diagnóstico muestra el estado Enforcing, significa que no lo desactivaremos en este sistema y no debe esperar a que funcione correctamente. Esta situación ocurre, por ejemplo, en el stock de firmware de Samsung. Se resuelve instalando ROM de terceros, por ejemplo, LineageOS.

El nuevo Intercepter se ejecuta en todas las arquitecturas a partir de Android 4.4. La prueba principal se realizó en Android 9 y 10, no debería haber ninguna diferencia en el trabajo en versiones anteriores. No se requiere instalación adicional de BusyBox y SuperSU. Suficiente Magisk u otros administradores de raíz incorporados. Libpcap se ha actualizado a la versión 1.9.1. A partir de Android 8.1, para obtener el SSID de la red (se muestra en la pantalla inicial), debe proporcionar acceso a los datos de ubicación. No puede proporcionarlos, esto no afecta la funcionalidad del programa.

Código SSLStrip mejorado, suplantación de HSTS agregada.

El escáner de puertos existente se ha convertido en un X-Scan simplificado de la versión original para Windows. Se aplica una verificación de SSL a los puertos abiertos, luego se muestra el titular del servicio (si está disponible) y se verifica que el puerto pertenezca al protocolo HTTP.
Si es así, se genera información de varios encabezados HTTP.

Si el puerto 445 está abierto, se intenta leer la versión del sistema operativo a través de una solicitud SMB. Además, se inicia una comprobación de la presencia de la vulnerabilidad EternalBlue.

Ahora quiero hablar sobre una nueva funcionalidad que puede convertirse en algo realmente grande si la comunidad apoya activamente la idea.

Al realizar una exploración ARP regular, obtenemos un par de IP: MAC. Por la dirección MAC podemos determinar el fabricante de la tarjeta de red, a través de la solicitud ICMP podemos obtener el valor TTL y determinar, en términos generales, el tipo de sistema operativo: Windows (128), Unix (64) o algo más raro: Cisco IOS (255) . Si el dispositivo probado tiene puertos TCP abiertos, entonces podemos obtener el tamaño de ventana TCP y separar Windows XP de Windows 7 o Linux de FreeBSD.

De acuerdo con este esquema, el sistema operativo se determinó en versiones anteriores de Intercepter.

En un intento por ampliar las posibilidades de determinar el sistema operativo, recurrí a la huella digital pasiva, que durante muchos años simplemente ignoré. La aplicación más relevante con una base relativamente nueva es Satori. Tanto Satori como p0f (otra herramienta conocida) funcionan exactamente de la misma manera que se describe anteriormente, solo que además de dos valores de marcador, se analizan otros campos de encabezado IP y TCP, así como las opciones de TCP, su valor y secuencia. La huella digital resultante es una línea de la siguiente forma: 64240: 128: 1: 52: M1460, N, W8, N, N, S: T. Esta es una huella digital para Windows 10, que también es relevante para Windows 7.

Habiendo examinado cuidadosamente toda la base de datos de huellas digitales para el protocolo TCP, quedó claro que su uso realmente puede mejorar la precisión de la determinación del sistema operativo, pero las expectativas iniciales no se materializaron, porque Muchas impresiones son adecuadas para varias versiones de sistemas operativos, por lo que es extremadamente difícil elegir entre varias opciones.

Inicialmente, tales sistemas de huellas digitales se crearon como una forma universal de determinar el sistema operativo, aplicable al tráfico de diferentes redes, incluidas las globales,
donde un parámetro como la dirección MAC no es significativo. Pero Intercepter funciona estrictamente en un entorno Ethernet, donde cada dispositivo es directamente accesible y tiene un MAC único.

Si agregamos los primeros 3 bytes de la dirección MAC a la huella dactilar TCP, obtendremos un registro casi único que nos permite determinar no tanto el sistema operativo como el modelo del dispositivo con un alto grado de precisión. Como mínimo, esto se aplica a teléfonos inteligentes, tabletas y otros dispositivos de red de oficina, como enrutadores, impresoras, etc. De esta forma, aumentamos significativamente los beneficios del uso de huellas digitales de red. La única dificultad es recopilar la base de datos de registros ...

El problema se resuelve de varias maneras:

1)

Se ha agregado un botón a la configuración de Intercepter que genera una huella digital para su dispositivo, simplemente cópielo y envíenmelo por correo.

Lo principal es asegurarse de que la aleatorización de la dirección MAC esté deshabilitada, de lo contrario, la huella digital será completamente inútil.

Pros : no requiere gestos especiales.
Contras : solo imprime dispositivos Android con privilegios de root.

2)

X-scan. Si hay al menos un puerto abierto, al finalizar el escaneo, se muestra una huella digital para el dispositivo bajo investigación, que se copia automáticamente en el portapapeles. Si tiene la oportunidad de averiguar la versión del SO y / o el modelo del dispositivo, firme la huella digital y envíela por correo electrónico.

Pros : la información adicional que se muestra en este modo puede ayudar a determinar el modelo del dispositivo y formar una impresión, incluso si no sabe lo que tiene delante.
Contras : baja cobertura, una impresión por escaneo.

3)

Intercepter-NG 1.0+. Lancé una pequeña actualización agregando salida de huellas digitales en Smart Scan. Hay varias correcciones y mejoras a la versión anterior 1.0, incluido el corrector en EternalBlue agregado a X-Scan, la base de datos oui ha sido actualizada. Recuerde instalar npcap.

Pros : le permite obtener huellas digitales para una gran cantidad de dispositivos en la red a la vez.
Contras : se escanea una lista limitada de los puertos más comunes.

Un ejemplo de una huella digital completa: CC2DE0; 14480: 64: 1: 60: M1460, S, T, N, W5: ZAT = Linux 3.x; MikroTik RB750Gr3

En la etapa inicial, se requieren huellas dactilares incluso de sistemas informáticos convencionales que no tienen un modelo específico. Es necesario reponer las llamadas huellas digitales genéricas que combinan la familia de sistemas operativos de diferentes versiones.

Esta base de datos será útil no solo para su uso en Intercepter, también será útil para cualquier otro proyecto que se ocupe del análisis de tráfico, por ejemplo, NetworkMiner, utilizado en informática forense. Las bases existentes para la detección pasiva del sistema operativo por huellas digitales TCP están muy desactualizadas o tienen un número insuficiente de entradas. Hay nmap, que se actualiza de una forma u otra, pero nmap se trata de escaneo activo, una historia completamente diferente ...

Intercepter ofrece una forma conveniente y rápida de recolectar huellas digitales sin requerir un conocimiento profundo en TI: ejecutar un escaneo, copiar la huella digital, firmar, enviar. Pedazo de pastel

Doy el instrumento, y qué hacer a continuación depende de usted ...

Muchos están interesados ​​en el destino de la versión principal de Windows. Sin duda, se lanzará una actualización completa, pero cuándo, aún se desconoce.

Agradezco a AndraxBoy y otros usuarios de w3bsit3-dns.com por su ayuda en las pruebas. Un agradecimiento especial a Magomed Magomadov y Alexander Dmitrenko.

Preguntas, deseos e impresiones pueden enviarse a intercepter.mail@gmail.com. Para las huellas digitales, debe especificar el tema de la huella digital.

Sitio: sniff.su
Mirror: github.com/intercepter-ng/mirror
Mail: intercepter.mail@gmail.com
Twitter: twitter.com/IntercepterNG
Forum: intercepterng.boards.net
Blog: intercepter-ng.blogspot.ru