Intercepter-NG 2.5 lançado para Android

Sim, o Intercepter ainda está vivo! E depois de uma longa pausa, tenho o prazer de apresentar uma nova versão.

Inicialmente, a tarefa era pentear a interface, corrigir erros, introduzir algumas inovações e testar o desempenho em novas versões do Android.

O que veio disso - sob o corte.

Assim. Aparência e usabilidade aprimoradas do aplicativo. As informações exibidas são delimitadas por cores, o texto é redimensionado por gestos, você pode alternar entre guias usando toques e também é adicionada uma resposta de vibração.

Regras de roteamento e iptables são salvas automaticamente antes de iniciar o trabalho e restauradas na conclusão.

Para evitar expectativas desnecessárias no momento do lançamento, o resultado da verificação anterior da rede atual é exibido. Além disso, é feita uma pré-digitalização rápida na inicialização - para eliminar a necessidade de nova digitalização, conforme exigido nas versões anteriores. O processo de digitalização foi aprimorado, uma nova maneira de resolver nomes foi adicionada. Função adicionada para salvar nomes automaticamente. Se durante a verificação não foi possível determinar o nome do dispositivo, ele será retirado do cache.

Um botão de diagnóstico foi adicionado às configurações. Em caso de problemas, as informações exibidas podem facilitar a busca de uma solução. Em particular, o status do SELinux é verificado. O Intercepter alterna automaticamente o setenforce para 0 durante a inicialização. Portanto, se o Imforcing estiver no diagnóstico, significa que não o desativamos neste sistema e você não deve esperar pela operação adequada. Essa situação ocorre, por exemplo, no firmware padrão da Samsung. Isso é resolvido com a instalação de ROMs de terceiros, por exemplo, LineageOS.

O novo Intercepter roda em todas as arquiteturas, começando com o Android 4.4. O teste principal foi realizado no Android 9 e 10, não deve haver diferenças no trabalho nas versões anteriores. Não é necessária nenhuma instalação adicional do BusyBox e SuperSU. Magisk suficiente ou outros gerenciadores de raiz embutidos. O Libpcap foi atualizado para a versão 1.9.1. A partir do Android 8.1, para obter o SSID da rede (ele é exibido na tela inicial), você deve fornecer acesso aos dados de localização. Você não pode fornecê-los, isso não afeta a funcionalidade do programa.

Código SSLStrip aprimorado, adição de falsificação HSTS.

O scanner de portas existente foi convertido em um X-Scan simplificado da versão original para Windows. Uma verificação de SSL é aplicada às portas abertas, o banner de serviço é exibido (se disponível) e a porta é verificada como pertencente ao protocolo HTTP.
Nesse caso, são exibidas informações de vários cabeçalhos HTTP.

Se a porta 445 estiver aberta, é feita uma tentativa de ler a versão do sistema operacional por meio de uma solicitação SMB. Além disso, é iniciada uma verificação da presença da vulnerabilidade EternalBlue.

Agora, quero falar sobre uma nova funcionalidade que pode se transformar em algo realmente grande se a comunidade apoiar ativamente a ideia.

Ao executar uma verificação ARP regular, obtemos um par de IP: MAC. Pelo endereço MAC, podemos determinar o fabricante da placa de rede, através da solicitação ICMP, podemos obter o valor TTL e determinar, em termos gerais, o tipo de sistema operacional: Windows (128), Unix (64) ou algo mais raro - Cisco IOS (255) . Se o dispositivo testado tiver portas TCP abertas, podemos obter o Tamanho da Janela TCP e já separar o Windows XP do Windows 7 ou Linux do FreeBSD.

Foi de acordo com esse esquema que o sistema operacional foi determinado nas versões anteriores do Intercepter.

Na tentativa de expandir as possibilidades de determinar o sistema operacional, passei à impressão digital passiva, que por muitos anos simplesmente ignorou. A aplicação mais relevante com uma base relativamente nova é o Satori. Tanto o Satori quanto o p0f (outra ferramenta conhecida) funcionam exatamente da mesma maneira descrita acima, apenas além de dois valores de marcador, são analisados ​​vários outros campos de cabeçalho IP e TCP, bem como opções de TCP, seu valor e sequência. A impressão digital resultante é uma linha do seguinte formato: 64240: 128: 1: 52: M1460, N, W8, N, N, S: T. Esta é uma impressão digital para o Windows 10, que também é relevante para o Windows 7.

Após examinar cuidadosamente todo o banco de dados de impressões digitais para o protocolo TCP, ficou claro que usá-lo pode realmente melhorar a precisão da determinação do sistema operacional, mas as expectativas iniciais não se concretizaram, porque muitas impressões são adequadas para várias versões de sistemas operacionais, por isso é extremamente difícil fazer uma escolha entre várias opções.

Inicialmente, esses sistemas de impressão digital foram criados como uma maneira universal de determinar o sistema operacional, aplicável ao tráfego de redes diferentes, incluindo as globais,
onde um parâmetro como o endereço MAC não é significativo. Mas o Intercepter trabalha estritamente em um ambiente Ethernet, onde cada dispositivo é diretamente acessível e possui um MAC exclusivo.

Se adicionarmos os 3 primeiros bytes do endereço MAC à impressão digital do TCP, obteremos um registro quase único que nos permitirá determinar com um alto grau de precisão não tanto o sistema operacional quanto o modelo do dispositivo! No mínimo, isso se aplica a smartphones, tablets e outros dispositivos de rede do escritório, como roteadores, impressoras etc. Dessa forma, aumentamos significativamente os benefícios do uso de impressões digitais da rede. A única dificuldade é coletar o banco de dados de registros ...

O problema é resolvido de várias maneiras:

1

Um botão foi adicionado às configurações do Intercepter que gera uma impressão digital para o seu dispositivo, basta copiá-lo e enviá-lo por e-mail.

O principal é garantir que a randomização do endereço MAC esteja desabilitada, caso contrário, a impressão digital será completamente inútil.

Prós : não requer gestos especiais.
Contras : apenas imprime dispositivos Android com privilégios de root.

2)

X-scan. Se houver pelo menos uma porta aberta, após a conclusão da digitalização, uma impressão digital é exibida para o dispositivo sob investigação, que é automaticamente copiado para a área de transferência. Se você tiver a oportunidade de descobrir a versão do sistema operacional e / ou o modelo do dispositivo - assine a impressão digital e envie-a por e-mail.

Prós : as informações adicionais exibidas neste modo podem ajudar a determinar o modelo do dispositivo e formar uma impressão, mesmo se você não souber o que está à sua frente.
Contras : baixa cobertura, uma impressão por digitalização.

3)

Intercepter-NG 1.0+. Lancei uma pequena atualização adicionando impressões digitais no Smart Scan. Existem várias correções e melhorias na versão 1.0 anterior, incluindo o verificador EternalBlue adicionado ao X-Scan, o banco de dados oui foi atualizado. Lembre-se de instalar o npcap.

Prós : permite obter impressões digitais de um grande número de dispositivos na rede por vez.
Contras : uma lista limitada das portas mais comuns é verificada.

Um exemplo de uma impressão digital completa: CC2DE0; 14480: 64: 1: 60: M1460, S, T, N, W5: ZAT = Linux 3.x; MikroTik RB750Gr3

No estágio inicial, as impressões digitais são necessárias mesmo em sistemas de computador convencionais que não possuem um modelo específico. É necessário reabastecer as chamadas impressões digitais genéricas que combinam a família de sistemas operacionais de diferentes versões.

Esse banco de dados será útil não apenas para uso no Intercepter, mas também para qualquer outro projeto que lide com análise de tráfego, por exemplo, o NetworkMiner, usado em computação forense. As bases existentes para a detecção passiva do SO por impressões digitais do TCP estão muito desatualizadas ou possuem um número insuficiente de entradas. Existe o nmap, que é atualizado de uma maneira ou de outra, mas o nmap é sobre digitalização ativa, uma história completamente diferente ... O

Intercepter oferece uma maneira conveniente e rápida de coletar impressões digitais sem exigir conhecimento profundo em TI - execute uma digitalização, copie a impressão digital - assine, envie. Pedaco de bolo.

Eu dou o instrumento, e o que fazer a seguir é com você ...

Muitos estão interessados ​​no destino da versão principal do Windows. Uma atualização completa certamente será lançada, mas quando - ainda é desconhecida.

Agradeço ao AndraxBoy e a outros usuários do w3bsit3-dns.com por sua ajuda nos testes. Agradecimentos especiais a Magomed Magomadov e Alexander Dmitrenko.

Perguntas, desejos e impressões podem ser enviados para intercepter.mail@gmail.com. Para impressões digitais, você deve especificar o tema Impressão digital.

Site: sniff.su
Espelho: github.com/intercepter-ng/mirror
Correio: intercepter.mail@gmail.com
Twitter: twitter.com/IntercepterNG
Fórum: intercepterng.boards.net
Blog: intercepter-ng.blogspot.ru