6 ХТТП МИТМ Аттацк Тоолс за истраживаче безбедности

by
Tweet
Share
Share
Pin

Napad čovek u sredini (MITM) se dešava kada zlonamerni akter prekine uspostavljenu mrežnu komunikaciju ili prenos podataka. Napadač se pozicionira na putanji prenosa i pretvara se da je legitimni učesnik u razgovoru.

U praksi, napadači se ubacuju između dolaznih zahteva i odlaznih odgovora. Kao korisnik, i dalje verujete da komunicirate direktno sa željenim serverom ili veb aplikacijom, kao što su Facebook, Twitter, online banka i slično. Međutim, u stvarnosti, vi šaljete zahteve napadaču, koji zatim komunicira sa vašom bankom ili aplikacijom umesto vas.

Na taj način, napadač vidi sve vaše zahteve i odgovore koje dobijate od ciljnog servera. Osim što posmatra celokupnu komunikaciju, napadač može da menja vaše zahteve i odgovore, ukrade vaše akreditive, preusmeri vas na servere pod njegovom kontrolom ili izvrši druge sajber zločine.

U suštini, napadač može da presretne protok komunikacije ili podatke bilo koje strane u razgovoru. Nakon toga, napadač može da izmeni informacije ili pošalje zlonamerne linkove ili odgovore legitimnim učesnicima. U većini slučajeva, ovo može proći neprimećeno neko vreme, sve dok se ne dogodi značajna šteta.

Uobičajene tehnike napada čovek u sredini

Njuškanje paketa: Napadač koristi različite alate da analizira mrežne pakete na niskom nivou. Njuškanje omogućava napadačima da vide pakete podataka kojima nemaju pravo pristupa.

Ubrizgavanje paketa: Napadači ubacuju zlonamerne pakete u kanale za prenos podataka. Pre ubacivanja, kriminalci koriste njuškanje da bi identifikovali kako i kada da pošalju zlonamerne pakete. Nakon ubacivanja, zlonamerni paketi se mešaju sa važećim u toku komunikacije.

Otmiča sesije: U većini veb aplikacija, proces prijave kreira privremeni token sesije, tako da korisnik ne mora stalno unositi lozinku za svaku stranicu ili zahtev. Nažalost, napadač koji koristi alate za njuškanje može da identifikuje i iskoristi ovaj token, koji mu omogućava da šalje zahteve pretvarajući se da je legitimni korisnik.

SSL skidanje: Napadači mogu da koriste tehniku SSL skidanja da presretnu legitimne pakete, modifikuju zahteve zasnovane na HTTPS-u i preusmere ih na nesigurne HTTP ekvivalente. Na taj način, domaćin će početi da šalje nešifrovane zahteve serveru, izlažući osetljive podatke u obliku običnog teksta koji se lako može ukrasti.

Posledice MITM napada

MITM napadi su opasni za svaku organizaciju jer mogu dovesti do finansijskih i reputacijskih gubitaka.

Kriminalci mogu da dođu do osetljivih i privatnih informacija organizacije. Na primer, mogu da ukradu akreditive kao što su korisnička imena i lozinke, podatke o kreditnoj kartici i koriste ih za transfer novca ili neovlašćene kupovine. Takođe, mogu da koriste ukradene akreditive za instaliranje zlonamernog softvera ili krađu drugih osetljivih informacija, koje mogu da koriste za ucenjivanje kompanije.

Iz tog razloga, ključno je zaštititi korisnike i digitalne sisteme kako bi se smanjili rizici od MITM napada.

MITM alati za napad za bezbednosne timove

Pored korišćenja pouzdanih bezbednosnih rešenja i praksi, neophodno je koristiti odgovarajuće alate za proveru sistema i identifikaciju ranjivosti koje napadači mogu da iskoriste. U nastavku su neki od HTTP MITM alata za istraživače bezbednosti:

Hetty

Hetty je brz alat otvorenog koda za HTTP sa moćnim funkcijama za podršku istraživačima bezbednosti. Ovaj alat je lagan i sadrži ugrađeni Next.js veb interfejs sa HTTP proxy-jem.

Ključne karakteristike:

  • Omogućava pretragu celog teksta.
  • Ima modul za slanje koji omogućava ručno slanje HTTP zahteva na osnovu podataka iz proxy logova ili kreiranjem od nule.
  • Sadrži modul za napad koji omogućava automatsko slanje HTTP zahteva.
  • Laka instalacija i jednostavan korisnički interfejs.
  • Ručno šaljite HTTP zahteve počevši od nule, kreiranjem zahteva ili kopiranjem iz proxy logova.

Bettercap

Bettercap je sveobuhvatan alat za izviđanje i napad na mreže.

Ovaj alat pruža inženjerima za obrnuti inženjering, bezbednosnim stručnjacima i crvenim timovima sve funkcije za testiranje ili napad na Wi-Fi, IPv4, IPv6 mreže, Bluetooth Low Energy (BLE) uređaje i bežične HID uređaje. Takođe, ovaj alat ima funkcije za nadgledanje mreže, kreiranje lažne pristupne tačke, njuškanje lozinki, DNS lažiranje, snimanje rukovanja itd.

Ključne karakteristike:

  • Snažan ugrađeni mrežni njuškač za identifikaciju podataka za autentifikaciju i prikupljanje akreditiva.
  • Moćan i proširiv.
  • Aktivno i pasivno ispituje i testira hostove IP mreže na potencijalne MITM ranjivosti.
  • Jednostavan za upotrebu i interaktivan web korisnički interfejs koji omogućava izvođenje širokog spektra MITM napada, njuškanje akreditiva, kontrolu HTTP i HTTPS saobraćaja itd.
  • Izvlači podatke kao što su POP, IMAP, SMTP i FTP akreditivi, posećene URL adrese, HTTP kolačići, HTTP objavljeni podaci i prikazuje ih u spoljnoj datoteci.
  • Manipuliše ili menja TCP, HTTP i HTTPS saobraćaj u realnom vremenu.

Proxy.py

Proxy.py je lagan proxy server otvorenog koda za WebSocket, HTTP, HTTPS i HTTP2. Ovaj alat je dostupan u jednoj Python datoteci i omogućava istraživačima da pregledaju veb saobraćaj, uključujući TLS šifrovane aplikacije, uz minimalnu potrošnju resursa.

Ključne karakteristike:

  • Brz i skalabilan alat koji može da obradi na desetine hiljada veza u sekundi.
  • Programabilne funkcije kao što su ugrađeni web server, proxy i prilagođavanje HTTP rutiranja.
  • Lagan dizajn koji koristi 5-20MB RAM-a. Takođe se oslanja na standardne Python biblioteke i ne zahteva spoljne zavisnosti.
  • Prilagodljiva kontrolna tabla u realnom vremenu koju možete proširiti pomoću dodataka. Omogućava pregled, nadgledanje, konfiguraciju i kontrolu proxy.py tokom rada.
  • Bezbedan alat koji koristi TLS za end-to-end enkripciju između proxy.py i klijenta.

mitmproxy

mitmproxy je lako za korišćenje HTTPS proxy rešenje otvorenog koda.

Ovaj alat funkcioniše kao HTTP proxy SSL čovek u sredini i ima konzolni interfejs koji omogućava pregled i modifikaciju protoka saobraćaja u hodu. Može se koristiti kao HTTP ili HTTPS proxy za snimanje celokupnog mrežnog saobraćaja, pregled zahteva korisnika i ponovno reprodukovanje tih zahteva. mitmproxy se odnosi na skup od tri moćna alata: mitmproxy (konzolni interfejs), mitmweb (veb interfejs) i mitmdump (verzija komandne linije).

Ključne karakteristike:

  • Interaktivan i pouzdan HTTP alat za analizu i modifikaciju saobraćaja.
  • Fleksibilan, stabilan i pouzdan alat koji se lako instalira i koristi.
  • Omogućava presretanje i modifikaciju HTTP i HTTPS zahteva i odgovora u hodu.
  • Snimanje i čuvanje HTTP komunikacije na strani klijenta i servera, a zatim njihovo ponovno reprodukovanje i analiza u budućnosti.
  • Generisanje SSL/TLS sertifikata za presretanje u hodu.
  • Funkcije obrnutog proxy-ja omogućavaju prosleđivanje mrežnog saobraćaja na drugi server.

Burp Suite

Burp Suite je automatizovan i skalabilan alat za skeniranje ranjivosti. Ovaj alat je popularan među mnogim profesionalcima u oblasti bezbednosti. Omogućava istraživačima da testiraju veb aplikacije i identifikuju ranjivosti koje kriminalci mogu da iskoriste i pokrenu MITM napade.

Burp Suite koristi tok posla koji vodi korisnik kako bi obezbedio direktan uvid u ciljnu aplikaciju i njen način funkcionisanja. Kao veb proxy server, Burp se postavlja kao čovek u sredini između veb pretraživača i ciljnog servera. Na taj način, omogućava presretanje, analizu i modifikaciju saobraćaja zahteva i odgovora.

Ključne karakteristike:

  • Presretanje i pregled sirovog mrežnog saobraćaja u oba smera između veb pretraživača i servera.
  • Prekid TLS veze u HTTPS saobraćaju između pretraživača i ciljnog servera, omogućavajući napadaču da vidi i modifikuje šifrovane podatke.
  • Izbor korišćenja ugrađenog pretraživača Burp ili spoljnog standardnog veb pretraživača.
  • Automatizovano, brzo i skalabilno rešenje za skeniranje ranjivosti, omogućava brže i efikasnije skeniranje i testiranje veb aplikacija, identifikujući širok spektar ranjivosti.
  • Prikaz pojedinačnih presretnutih HTTP zahteva i odgovora.
  • Ručni pregled presretnutog saobraćaja za detaljno razumevanje napada.

Ettercap

Ettercap je analizator i presretač mrežnog saobraćaja otvorenog koda.

Ovaj sveobuhvatni MITM alat omogućava istraživačima da analiziraju širok spektar mrežnih protokola i hostova. Takođe, može da registruje mrežne pakete u LAN i drugim okruženjima. Pored toga, ovaj višenamenski analizator mrežnog saobraćaja može da otkrije i zaustavi MITM napade.

Ključne karakteristike:

  • Presreće mrežni saobraćaj i hvata akreditive poput lozinki. Takođe, može da dešifruje šifrovane podatke i izvuče akreditive kao što su korisnička imena i lozinke.
  • Pogodan za detaljno njuškanje paketa, testiranje, praćenje mrežnog saobraćaja i pružanje filtriranja sadržaja u realnom vremenu.
  • Podržava aktivno i pasivno prisluškivanje, analizu mrežnih protokola, uključujući i one sa šifrovanjem.
  • Analizira topologiju mreže i utvrđuje operativne sisteme koji su instalirani.
  • Korisnički grafički interfejs sa interaktivnim i neinteraktivnim opcijama rada.
  • Koristi tehnike analize kao što su ARP presretanje, IP i MAC filtriranje za presretanje i analizu saobraćaja.

Sprečavanje MITM napada

Identifikovanje MITM napada nije lako jer se dešavaju izvan vidokruga korisnika, a teško ih je otkriti jer napadači sve čine da izgleda normalno. Međutim, postoji nekoliko bezbednosnih praksi koje organizacije mogu da koriste kako bi sprečile MITM napade, uključujući:

  • Obezbeđivanje internet veza na poslu ili kućnim mrežama, na primer, korišćenjem efikasnih bezbednosnih rešenja i alata na serverima i računarima, pouzdanih rešenja za autentifikaciju.
  • Primena jake WEP/WAP enkripcije za pristupne tačke.
  • Uveravanje da su sve veb lokacije koje posećujete bezbedne i da imaju HTTPS u URL-u.
  • Izbegavanje kliktanja na sumnjive imejlove i linkove.
  • Primena HTTPS-a i onemogućavanje nesigurnih TLS/SSL protokola.
  • Korišćenje virtuelnih privatnih mreža (VPN) gde je to moguće.
  • Korišćenje navedenih alata i drugih HTTP rešenja za identifikaciju i rešavanje svih ranjivosti koje napadači mogu da iskoriste.