Intercepter-NG 2.5 publié pour Android

Oui, Intercepter est toujours vivant! Et après une longue accalmie, j'ai le plaisir de vous présenter une nouvelle version.

Initialement, la tâche consistait à peigner l'interface, à corriger les erreurs, à introduire des innovations et à tester les performances sur les nouvelles versions d'Android.

Ce qui en est ressorti - sous la coupe.

Donc. Amélioration de l'apparence et de la convivialité de l'application. Les informations affichées sont délimitées par des couleurs, le texte est redimensionné par des gestes, vous pouvez basculer entre les onglets à l'aide de glissements et une réponse vibratoire est également ajoutée.

Les règles de routage et iptables sont automatiquement enregistrées avant de commencer le travail et restaurées à la fin.

Pour éviter des attentes inutiles au moment du lancement, le résultat de l'analyse précédente du réseau actuel s'affiche. En outre, une pré-analyse rapide est effectuée au démarrage - pour éliminer le besoin de ré-analyse, comme cela était requis dans les versions précédentes. Le processus de numérisation a été amélioré, une nouvelle façon de résoudre les noms a été ajoutée. Ajout d'une fonction pour enregistrer automatiquement les noms. Si, lors de l'analyse, il n'a pas été possible de déterminer le nom du périphérique, il sera extrait du cache.

Un bouton de diagnostic a été ajouté aux paramètres. En cas de problème, les informations affichées peuvent faciliter la recherche d'une solution. En particulier, l'état SELinux est vérifié. Intercepter bascule automatiquement setenforce sur 0 lors du démarrage, donc si les diagnostics indiquent l'état Enforcing, cela signifie que nous ne le désactiverons pas sur ce système et vous ne devez pas attendre le bon fonctionnement. Cette situation se produit, par exemple, sur le firmware d'origine de Samsung. Il est résolu en installant des ROM tierces, par exemple LineageOS.

Le nouvel Intercepter fonctionne sur toutes les architectures à partir d'Android 4.4. Les principaux tests ont été effectués sur Android 9 et 10, il ne devrait pas y avoir de différences dans le travail sur les versions antérieures. Aucune installation supplémentaire de BusyBox et SuperSU n'est requise. Assez de Magisk ou d'autres root-managers intégrés. Libpcap a été mis à jour vers la version 1.9.1. À partir d'Android 8.1, pour obtenir le SSID du réseau (il s'affiche sur l'écran initial), vous devez donner accès aux données de localisation. Vous ne pouvez pas les fournir, cela n'affecte pas la fonctionnalité du programme.

Code SSLStrip amélioré, usurpation HSTS ajoutée.

Le scanner de port existant a été converti en X-Scan simplifié à partir de la version originale pour Windows. Une vérification de SSL est appliquée aux ports ouverts, puis la bannière de service s'affiche (si disponible) et le port est vérifié pour appartenir au protocole HTTP.
Si tel est le cas, des informations provenant de divers en-têtes HTTP sont sorties.

Si le port 445 est ouvert, une tentative est effectuée pour lire la version du système d'exploitation via une demande SMB. De plus, une vérification est lancée pour la présence de la vulnérabilité EternalBlue.

Maintenant, je veux parler d'une nouvelle fonctionnalité qui peut devenir quelque chose de vraiment grand si la communauté soutient activement l'idée.

En effectuant un scan ARP régulier, nous obtenons une paire d'IP: MAC. Par l'adresse MAC, nous pouvons déterminer le fabricant de la carte réseau, grâce à la demande ICMP, nous pouvons obtenir la valeur TTL et déterminer, en termes généraux, le type de système d'exploitation: Windows (128), Unix (64) ou quelque chose de plus rare - Cisco IOS (255) . Si le périphérique testé a des ports TCP ouverts, nous pouvons obtenir la taille de la fenêtre TCP et déjà séparer Windows XP de Windows 7 ou Linux de FreeBSD.

C'est selon ce schéma que le système d'exploitation a été déterminé dans les versions précédentes d'Intercepter.

Afin d'étendre les possibilités de détermination du système d'exploitation, je me suis tourné vers les empreintes digitales passives, qui pendant de nombreuses années ont tout simplement ignoré. L'application la plus pertinente avec une base relativement fraîche est Satori. Satori et p0f (un autre outil bien connu) fonctionnent exactement de la même manière que décrit ci-dessus, seulement en plus de deux valeurs de marqueur, un certain nombre d'autres champs d'en-tête IP et TCP sont analysés, ainsi que les options TCP, leur valeur et leur séquence. L'empreinte digitale résultante est une ligne de la forme suivante: 64240: 128: 1: 52: M1460, N, W8, N, N, S: T. Il s'agit d'une empreinte digitale pour Windows 10, qui est également pertinente pour Windows 7.

Après avoir soigneusement examiné toute la base de données d'empreintes digitales pour le protocole TCP, il est devenu clair que son utilisation peut vraiment améliorer la précision de la détermination du système d'exploitation, mais les attentes initiales ne se sont pas matérialisées, car de nombreuses impressions conviennent à plusieurs versions de systèmes d'exploitation, il est donc extrêmement difficile de faire un choix parmi un certain nombre d'options.

Initialement, ces systèmes d'empreintes digitales ont été créés comme un moyen universel de déterminer le système d'exploitation, applicable au trafic provenant de différents réseaux, y compris les réseaux mondiaux,
où un paramètre tel que l'adresse MAC n'est pas significatif. Mais Intercepter fonctionne strictement dans un environnement Ethernet, où chaque appareil est directement accessible et possède un MAC unique.

Si nous ajoutons les 3 premiers octets de l'adresse MAC à l'empreinte TCP, nous obtiendrons un enregistrement presque unique qui nous permettra de déterminer moins le système d'exploitation que le modèle d'appareil avec un haut degré de précision! Au minimum, cela s'applique aux smartphones, tablettes et autres périphériques réseau de bureau tels que les routeurs, les imprimantes, etc. De cette façon, nous augmentons considérablement les avantages de l'utilisation des empreintes digitales du réseau. La seule difficulté est de collecter la base de données des enregistrements ...

Le problème est résolu de plusieurs manières:

1.

Un bouton a été ajouté aux paramètres Intercepter qui génère une empreinte digitale pour votre appareil, copiez-le et envoyez-le-moi par courrier.

L'essentiel est de s'assurer que la randomisation de l'adresse MAC est désactivée, sinon l'empreinte digitale sera complètement inutile.

Avantages : ne nécessite pas de gestes spéciaux.
Inconvénients : il n'imprime que les appareils Android avec des privilèges root.

2.

X-scan. S'il y a au moins un port ouvert, une fois l'analyse terminée, une empreinte digitale s'affiche pour le périphérique en cours d'investigation, qui est automatiquement copiée dans le presse-papiers. Si vous avez la possibilité de connaître la version du système d'exploitation et / ou le modèle d'appareil - signez l'empreinte digitale et envoyez-la par e-mail.

Avantages : des informations supplémentaires affichées dans ce mode peuvent aider à déterminer le modèle de l'appareil et à former une empreinte, même si vous ne savez pas ce qui se trouve devant vous.
Inconvénients : faible couverture, une impression par numérisation.

3.

Intercepter-NG 1.0+. J'ai publié une petite mise à jour en ajoutant une sortie d'empreintes digitales sur Smart Scan. Il existe diverses corrections et améliorations à la version précédente 1.0, y compris le vérificateur sur EternalBlue ajouté à X-Scan, la base de données oui a été mise à jour. N'oubliez pas d'installer npcap.

Avantages : vous permet d'obtenir les empreintes digitales d'un grand nombre d'appareils sur le réseau à la fois.
Inconvénients : une liste limitée des ports les plus courants est analysée.

Un exemple d'empreinte digitale complète: CC2DE0; 14480: 64: 1: 60: M1460, S, T, N, W5: ZAT = Linux 3.x; MikroTik RB750Gr3

Au stade initial, les empreintes digitales sont requises même sur les systèmes informatiques conventionnels qui n'ont pas de modèle spécifique. Il est nécessaire de reconstituer les empreintes digitales dites génériques qui combinent la famille de systèmes d'exploitation de différentes versions.

Cette base de données sera utile non seulement pour une utilisation dans Intercepter, elle deviendra également utile pour tout autre projet qui traite de l'analyse du trafic, par exemple NetworkMiner, utilisé en informatique légale. Les bases existantes pour la détection passive du système d'exploitation par les empreintes digitales TCP sont très obsolètes ou ont un nombre insuffisant d'entrées. Il y a nmap, qui est mis à jour d'une manière ou d'une autre, mais nmap concerne la numérisation active, une histoire complètement différente ...

Intercepter offre un moyen pratique et rapide de collecter des empreintes digitales sans nécessiter de connaissances approfondies en informatique - exécuter une numérisation, copier l'empreinte digitale - signer, envoyer. Part de gâteau.

Je donne l'instrument, et que faire ensuite dépend de vous ...

Beaucoup s'intéressent au sort de la version principale de Windows. Une mise à jour à part entière sera certainement publiée, mais quand - elle est encore inconnue.

Je remercie AndraxBoy et les autres utilisateurs de w3bsit3-dns.com pour leur aide dans les tests. Un merci spécial à Magomed Magomadov et Alexander Dmitrenko.

Les questions, souhaits et impressions peuvent être envoyés à intercepter.mail@gmail.com. Pour les empreintes digitales, vous devez spécifier le thème des empreintes digitales.

Site: sniff.su
Miroir: github.com/intercepter-ng/mirror
Mail: intercepter.mail@gmail.com
Twitter: twitter.com/IntercepterNG
Forum: intercepterng.boards.net
Blog: intercepter-ng.blogspot.ru