Intercepter-NG 2.5 dirilis untuk Android

Ya, Intercepter masih hidup! Dan setelah jeda yang lama, saya senang memperkenalkan versi baru.

Awalnya, tugasnya adalah menyisir antarmuka, memperbaiki kesalahan, memperkenalkan beberapa inovasi dan menguji kinerja Android versi baru.

Apa yang terjadi - di bawah luka.

Begitu. Tampilan aplikasi dan kegunaan yang ditingkatkan. Informasi yang ditampilkan dibatasi oleh warna, teks diubah ukurannya dengan gerakan, Anda dapat beralih di antara tab menggunakan gesekan, dan respons getaran juga ditambahkan.

Aturan perutean dan iptables secara otomatis disimpan sebelum mulai bekerja dan dikembalikan pada penyelesaian.

Untuk menghindari harapan yang tidak perlu pada saat peluncuran, hasil pemindaian sebelumnya untuk jaringan saat ini ditampilkan. Juga, pra-pemindaian cepat dilakukan saat startup - untuk menghilangkan kebutuhan untuk pemindaian ulang, seperti yang diperlukan dalam versi sebelumnya. Proses pemindaian telah ditingkatkan, cara baru untuk menyelesaikan nama telah ditambahkan. Menambahkan fungsi untuk secara otomatis menyimpan nama. Jika selama pemindaian itu tidak mungkin untuk menentukan nama perangkat, itu akan diambil dari cache.

Tombol diagnostik telah ditambahkan ke pengaturan Jika terjadi masalah, informasi yang ditampilkan dapat memudahkan pencarian solusi. Secara khusus, status SELinux diperiksa. Intercepter secara otomatis mengalihkan setenforce ke 0 selama startup, jadi jika diagnostik menunjukkan status Penegakan, itu berarti bahwa kami tidak akan menonaktifkannya di sistem ini dan Anda tidak harus menunggu operasi yang tepat. Situasi ini terjadi, misalnya, pada firmware saham dari Samsung. Itu diselesaikan dengan menginstal ROM pihak ketiga, misalnya LineageOS.

Intercepter baru berjalan pada semua arsitektur dimulai dengan Android 4.4. Pengujian utama dilakukan pada Android 9 dan 10, seharusnya tidak ada perbedaan dalam pekerjaan pada versi sebelumnya. Tidak diperlukan instalasi BusyBox dan SuperSU tambahan. Cukup Magisk atau root-manager bawaan lainnya. Libpcap telah diperbarui ke versi 1.9.1. Mulai dengan Android 8.1, untuk mendapatkan SSID jaringan (ditampilkan pada layar awal), Anda harus memberikan akses ke data lokasi. Anda tidak dapat menyediakannya, ini tidak memengaruhi fungsionalitas program.

Kode SSLStrip yang ditingkatkan, menambahkan spoofing HSTS.

Pemindai port yang ada telah dikonversi menjadi X-Scan yang disederhanakan dari versi asli untuk Windows. Pemeriksaan SSL diterapkan untuk membuka port, kemudian spanduk layanan ditampilkan (jika tersedia) dan port tersebut diperiksa milik protokol HTTP.
Jika demikian, informasi dari berbagai tajuk HTTP adalah keluaran.

Jika port 445 terbuka, upaya dilakukan untuk membaca versi OS melalui permintaan SMB. Selain itu, cek diluncurkan untuk keberadaan kerentanan EternalBlue.

Sekarang saya ingin berbicara tentang fungsi baru yang dapat tumbuh menjadi sesuatu yang sangat besar jika komunitas secara aktif mendukung ide tersebut.

Dengan melakukan pemindaian ARP biasa, kami mendapatkan sepasang IP: MAC. Dengan alamat MAC kita dapat menentukan produsen kartu jaringan, melalui permintaan ICMP kita bisa mendapatkan nilai TTL dan menentukan, secara umum, jenis sistem operasi: Windows (128), Unix (64) atau sesuatu yang lebih langka - Cisco IOS (255) . Jika perangkat yang diuji memiliki port TCP terbuka, maka kita bisa mendapatkan Ukuran Window TCP dan sudah memisahkan Windows XP dari Windows 7 atau Linux dari FreeBSD.

Menurut skema ini, sistem operasi ditentukan dalam versi Intercepter sebelumnya.

Dalam upaya memperluas kemungkinan penentuan OS, saya beralih ke sidik jari pasif, yang selama bertahun-tahun diabaikan begitu saja. Aplikasi paling relevan dengan basis yang relatif segar adalah Satori. Baik Satori dan p0f (alat lain yang terkenal) bekerja dengan cara yang persis sama seperti yang dijelaskan di atas, hanya di samping dua nilai marker, sejumlah bidang header IP dan TCP lainnya dianalisis, serta opsi TCP, nilai dan urutannya. Sidik jari yang dihasilkan adalah garis dengan bentuk berikut: 64240: 128: 1: 52: M1460, N, W8, N, N, S: T. Ini adalah sidik jari untuk Windows 10, yang juga relevan untuk Windows 7.

Setelah dengan hati-hati memeriksa seluruh basis data sidik jari untuk protokol TCP, menjadi jelas bahwa menggunakannya benar-benar dapat meningkatkan akurasi penentuan OS, tetapi harapan awal tidak terwujud, karena banyak cetakan cocok untuk beberapa versi sistem operasi, sehingga sangat sulit untuk membuat pilihan di antara sejumlah opsi.

Awalnya, sistem sidik jari tersebut dibuat sebagai cara universal untuk menentukan OS, berlaku untuk lalu lintas dari jaringan yang berbeda, termasuk yang global, di
mana parameter seperti alamat MAC tidak signifikan. Tetapi Intercepter bekerja secara ketat di lingkungan Ethernet, di mana setiap perangkat dapat diakses langsung dan memiliki MAC yang unik.

Jika kita menambahkan 3 byte pertama dari alamat MAC ke sidik jari TCP, kita akan mendapatkan catatan yang hampir unik yang memungkinkan kita untuk menentukan tidak terlalu banyak sistem operasi seperti model perangkat dengan tingkat akurasi yang tinggi! Paling tidak, ini berlaku untuk smartphone, tablet, dan perangkat jaringan kantor lainnya seperti router, printer, dan sebagainya. Dengan cara ini kami secara signifikan meningkatkan manfaat menggunakan sidik jari jaringan. Satu-satunya kesulitan adalah mengumpulkan database catatan ...

Masalahnya dipecahkan dengan beberapa cara:

1.

Sebuah tombol telah ditambahkan ke pengaturan Intercepter yang menghasilkan sidik jari untuk perangkat Anda, cukup salin dan kirimkan kepada saya melalui surat.

Hal utama adalah memastikan bahwa pengacakan alamat MAC dinonaktifkan, jika tidak sidik jari akan sama sekali tidak berguna.

Pro : tidak memerlukan gerakan khusus.
Cons : itu hanya mencetak perangkat Android dengan hak akses root.

2.

X-scan. Jika setidaknya ada satu port terbuka, setelah pemindaian selesai, sidik jari ditampilkan untuk perangkat yang sedang diselidiki, yang secara otomatis disalin ke clipboard. Jika Anda memiliki kesempatan untuk mengetahui versi OS dan / atau model perangkat - tandatangani sidik jari dan kirimkan ke email.

Kelebihan : informasi tambahan yang ditampilkan dalam mode ini dapat membantu menentukan model perangkat dan membentuk jejak, bahkan jika Anda tidak tahu apa yang ada di depan Anda.
Cons : cakupan rendah, satu cetak per pemindaian.

3.

Intercepter-NG 1.0+. Saya merilis pembaruan kecil dengan menambahkan output sidik jari pada Smart Scan. Ada berbagai koreksi dan perbaikan pada versi 1.0 sebelumnya, termasuk pemeriksa pada EternalBlue ditambahkan ke X-Scan, database oui telah diperbarui. Ingatlah untuk menginstal npcap.

Pro : memungkinkan Anda mendapatkan sidik jari untuk sejumlah besar perangkat di jaringan sekaligus.
Cons : daftar terbatas port yang paling umum dipindai.

Contoh sidik jari lengkap: CC2DE0; 14480: 64: 1: 60: M1460, S, T, N, W5: ZAT = Linux 3.x; MikroTik RB750Gr3

Pada tahap awal, sidik jari diperlukan bahkan dari sistem komputer konvensional yang tidak memiliki model tertentu. Hal ini diperlukan untuk mengisi ulang apa yang disebut sidik jari generik yang menggabungkan keluarga sistem operasi versi yang berbeda.

Basis data ini akan berguna tidak hanya untuk digunakan dalam Intercepter, juga akan berguna untuk proyek lain yang berkaitan dengan analisis lalu lintas, misalnya NetworkMiner, yang digunakan dalam forensik komputer. Basis yang ada untuk deteksi OS pasif oleh sidik jari TCP sangat ketinggalan jaman atau memiliki jumlah entri yang tidak mencukupi. Ada nmap, yang diperbarui satu atau lain cara, tetapi nmap adalah tentang pemindaian aktif, cerita yang sama sekali berbeda ...

Intercepter menawarkan cara yang mudah dan cepat untuk mengumpulkan sidik jari tanpa memerlukan pengetahuan mendalam tentang IT - jalankan pemindaian, salin tanda-tanda sidik jari, kirim. Sepotong kue.

Saya memberikan instrumen, dan apa yang harus dilakukan selanjutnya terserah Anda ...

Banyak yang tertarik dengan nasib versi Windows utama. Pembaruan penuh pasti akan keluar, tetapi ketika - masih belum diketahui.

Saya berterima kasih kepada AndraxBoy dan pengguna w3bsit3-dns.com lainnya atas bantuan mereka dalam pengujian. Terima kasih khusus kepada Magomed Magomadov dan Alexander Dmitrenko.

Pertanyaan, keinginan, dan cetakan dapat dikirim ke intercepter.mail@gmail.com. Untuk sidik jari, Anda harus menentukan tema Sidik Jari.

Situs: sniff.su
Mirror: github.com/intercepter-ng/mirror
Mail: intercepter.mail@gmail.com
Twitter: twitter.com/IntercepterNG
Forum: intercepterng.boards.net
Blog: intercepter-ng.blogspot.ru