Добро пожаловать обратно, мои начинающие кибервоины!
Ранее в серии «Шпионить за кем угодно» мы использовали свои хакерские навыки, чтобы превратить компьютерную систему жертвы в жучок для записи разговоров , а также найти и скачать конфиденциальные документы с чьего-то компьютера. В этом уроке я покажу вам, как шпионить за интернет-трафиком любого человека и находить в нём ключевые слова.
Для большей интриги предположим, что у нас есть подозреваемый террорист, за которым нужно следить, поскольку есть основания полагать, что он планирует теракт (прямо как в вчерашних новостях!). Наш работодатель (предположительно, правоохранительные органы, военные или разведывательное агентство) попросил нас проследить за их интернет-трафиком, чтобы проверить обоснованность наших подозрений. Как это сделать?
Шаг 1: Запустите Кали и получите доступ к его сети
Наш первый шаг, конечно же, это запустить Kali, наш проверенный и надежный хакерский инструментарий. В нем есть множество хакерских инструментов. Прежде чем мы сможем шпионить за нашим подозреваемым, нам нужно будет разместиться в той же сети. Это можно сделать несколькими способами. Во-первых, если он использует сеть Wi-Fi, это может быть проще всего. Мы можем либо взломать его пароль WPA2 , взломать его PIN-код WPS или настроить Evil Twin для прослушивания их трафика. В любом из этих случаев, после взлома кода доступа, мы можем войти в его точку доступа, чтобы попасть в ту же сеть. Во-вторых, мы можем физически разместиться в той же сети на его рабочем месте, в школе, учреждении и т. д. Мы можем выдать себя за нового сотрудника, нового студента, ремонтника и т. д. и таким образом получить доступ к локальной сети. В-третьих, мы можем взломать и завладеть его компьютером или любым другим компьютером в той же сети. Это может быть самым трудоемким и трудоемким процессом. В любом случае, я предполагаю, что у вас есть доступ к той же сети, что и у подозреваемого, поэтому давайте продолжим изучение этого руководства.
Шаг 2 : Проведение атаки MitM
Хотя существует множество способов проведения атаки MitM (man-in-the-middle), самый простой, пожалуй, — это использование Ettercap, встроенного в Kali и имеющего как командную строку, так и графический интерфейс. Для простоты воспользуемся графическим интерфейсом. Активировать графический интерфейс Ettercap можно командой: kali > ettercap -G После этого откроется графический интерфейс, подобный показанному ниже.
Выберите интерфейс, который вы хотите прослушивать. В проводной сети это обычно eth0. В беспроводной сети это обычно wlan0. Шаг 4: Сканирование хостов . Следующий шаг — сканирование хостов . Это означает, что Ettercap просканирует сеть и определит IP-адреса и MAC-адреса всех систем в сети. В меню «Хосты» выберите «Сканировать хосты».
Когда Ettercap завершит сканирование сети, нам нужно снова выбрать меню «Хосты» и выбрать «Список хостов». Теперь Ettercap покажет вам все хосты в сети с IP-адресами и MAC-адресами.
Шаг 5 : Начните атаку MitM
Выберите меню «Mitm» в верхней части экрана. Появится несколько вариантов. Выберите «Отравление ARP».
Затем выберите цели из списка хостов. На вкладке «Список хостов» выберите подозреваемый хост в качестве цели 1, а маршрутизатор — в качестве цели 2.
Теперь мы успешно разместились между подозреваемым и его маршрутизатором, и весь
его интернет-трафик проходит через нашу систему!
Шаг 6 : Используйте Snort как инструмент шпионажа
Теперь, когда мы установили связь между подозреваемым и его маршрутизатором, весь его трафик должен проходить через наш компьютер. Это означает, что мы можем «видеть» весь его трафик. Мы могли бы просто прослушивать его трафик с помощью снифферов, таких как Wireshark , но это означало бы утомительную фильтрацию, сканирование и сохранение всего его трафика для поиска подозрительной активности. Наша задача была бы намного проще, если бы мы могли автоматизировать этот процесс. Snort изначально был разработан как система обнаружения вторжений (IDS) для прослушивания интернет-трафика и поиска вредоносной активности. Он перехватывает каждый пакет и проверяет его, используя свою базу правил для поиска трафика, который может быть вредоносным. Он делает это автоматически и прозрачно, с минимальным вмешательством человека. Здесь мы немного изменим Snort. Вместо того, чтобы искать вредоносный трафик, поступающий в нашу сеть, мы хотим искать подозрительные ключевые слова, исходящие из Интернета или отправляемые на машину подозреваемого. Если любое из этих слов появляется в его трафике, он отправит нам предупреждение. Первым шагом будет загрузка Snort , если у вас его ещё нет. Его можно найти в репозитории Kali, поэтому вам нужно всего лишь ввести следующее. (Если у вас установлена последняя версия Kali, она уже установлена в вашей системе, и вам не нужно этого делать.) kali > apt-get install snort
Это должно успешно установить Snort в вашей системе.
Шаг 7 : Настройка правил Snort
Snort использует набор правил для поиска вредоносного трафика. Кроме того, Snort позволяет добавлять собственные правила. В данном случае мы отключим все правила, отслеживающие вредоносный трафик, и вместо этого создадим правила, которые будут искать подозрительные ключевые слова, которые могут указывать на намерения злоумышленника. Откроем файл snort.conf в любом текстовом редакторе. В данном случае я буду использовать Leafpad.
Кали > листовая панель /etc/snort/snort.conf
Теперь нам нужно перейти в конец этого файла и закомментировать все include, относящиеся к файлам правил. В моём snort.conf include начинаются со строки 570 с локальными правилами (ваши могут немного отличаться). Это отключит все правила Snort, поставляемые с IDS. Просмотрите каждую строку, кроме «include local.rules», и добавьте символ # перед каждым include. Это гарантирует, что Snort активирует и использует только наши локальные правила.
Шаг 8 : Напишите правила для поиска подозрительного трафика
На последнем этапе нам нужно создать правила Snort, которые будут искать в интернет-трафике подозреваемого ключевые слова, указывающие на его намерение совершить вредоносную деятельность. ФБР с его инструментом Carnivore и АНБ с Prism разработали аналогичные инструменты. Ключевые слова могут различаться в зависимости от обстоятельств, но я настрою оповещения на каждый раз, когда подозреваемый отправляет или получает трафик, содержащий слова «джихад», «ИГИЛ», «самоубийство» или «бомба». Конечно, эти ключевые слова могут и будут различаться, и я использую их здесь только в демонстрационных целях.
Давайте откроем файл local.rules в текстовом редакторе и напишем правила.
Кали > листовая панель /etc/snort/rules/local.rule
Когда файл откроется, добавьте следующие правила, как показано на снимке экрана ниже.
Теперь сохраните файл local.rules и запустите Snort. kali > snort -vde -c /etc/snort/snort.conf Всякий раз, когда у подозреваемого есть какой-либо интернет-трафик, содержащий эти ключевые слова, Snort отправит вам предупреждение и запишет пакет в журнал, чтобы вы могли позже вернуться и изучить, что он просматривал.
Резюме
Мы успешно разработали систему слежения, которая будет предупреждать нас о каждом сетевом трафике, содержащем подозрительные ключевые слова, от нашего предполагаемого террориста. Возможно, мы спасли множество невинных жизней, мои начинающие хакеры, просто применив базовые навыки кибервоина!
Ранее в серии «Шпионить за кем угодно» мы использовали свои хакерские навыки, чтобы превратить компьютерную систему жертвы в жучок для записи разговоров , а также найти и скачать конфиденциальные документы с чьего-то компьютера. В этом уроке я покажу вам, как шпионить за интернет-трафиком любого человека и находить в нём ключевые слова.
Для большей интриги предположим, что у нас есть подозреваемый террорист, за которым нужно следить, поскольку есть основания полагать, что он планирует теракт (прямо как в вчерашних новостях!). Наш работодатель (предположительно, правоохранительные органы, военные или разведывательное агентство) попросил нас проследить за их интернет-трафиком, чтобы проверить обоснованность наших подозрений. Как это сделать?
Шаг 1: Запустите Кали и получите доступ к его сети
Наш первый шаг, конечно же, это запустить Kali, наш проверенный и надежный хакерский инструментарий. В нем есть множество хакерских инструментов. Прежде чем мы сможем шпионить за нашим подозреваемым, нам нужно будет разместиться в той же сети. Это можно сделать несколькими способами. Во-первых, если он использует сеть Wi-Fi, это может быть проще всего. Мы можем либо взломать его пароль WPA2 , взломать его PIN-код WPS или настроить Evil Twin для прослушивания их трафика. В любом из этих случаев, после взлома кода доступа, мы можем войти в его точку доступа, чтобы попасть в ту же сеть. Во-вторых, мы можем физически разместиться в той же сети на его рабочем месте, в школе, учреждении и т. д. Мы можем выдать себя за нового сотрудника, нового студента, ремонтника и т. д. и таким образом получить доступ к локальной сети. В-третьих, мы можем взломать и завладеть его компьютером или любым другим компьютером в той же сети. Это может быть самым трудоемким и трудоемким процессом. В любом случае, я предполагаю, что у вас есть доступ к той же сети, что и у подозреваемого, поэтому давайте продолжим изучение этого руководства.
Шаг 2 : Проведение атаки MitM
Хотя существует множество способов проведения атаки MitM (man-in-the-middle), самый простой, пожалуй, — это использование Ettercap, встроенного в Kali и имеющего как командную строку, так и графический интерфейс. Для простоты воспользуемся графическим интерфейсом. Активировать графический интерфейс Ettercap можно командой: kali > ettercap -G После этого откроется графический интерфейс, подобный показанному ниже.
Выберите интерфейс, который вы хотите прослушивать. В проводной сети это обычно eth0. В беспроводной сети это обычно wlan0. Шаг 4: Сканирование хостов . Следующий шаг — сканирование хостов . Это означает, что Ettercap просканирует сеть и определит IP-адреса и MAC-адреса всех систем в сети. В меню «Хосты» выберите «Сканировать хосты».
Когда Ettercap завершит сканирование сети, нам нужно снова выбрать меню «Хосты» и выбрать «Список хостов». Теперь Ettercap покажет вам все хосты в сети с IP-адресами и MAC-адресами.
Шаг 5 : Начните атаку MitM
Выберите меню «Mitm» в верхней части экрана. Появится несколько вариантов. Выберите «Отравление ARP».
Затем выберите цели из списка хостов. На вкладке «Список хостов» выберите подозреваемый хост в качестве цели 1, а маршрутизатор — в качестве цели 2.
Теперь мы успешно разместились между подозреваемым и его маршрутизатором, и весь
его интернет-трафик проходит через нашу систему!
Шаг 6 : Используйте Snort как инструмент шпионажа
Теперь, когда мы установили связь между подозреваемым и его маршрутизатором, весь его трафик должен проходить через наш компьютер. Это означает, что мы можем «видеть» весь его трафик. Мы могли бы просто прослушивать его трафик с помощью снифферов, таких как Wireshark , но это означало бы утомительную фильтрацию, сканирование и сохранение всего его трафика для поиска подозрительной активности. Наша задача была бы намного проще, если бы мы могли автоматизировать этот процесс. Snort изначально был разработан как система обнаружения вторжений (IDS) для прослушивания интернет-трафика и поиска вредоносной активности. Он перехватывает каждый пакет и проверяет его, используя свою базу правил для поиска трафика, который может быть вредоносным. Он делает это автоматически и прозрачно, с минимальным вмешательством человека. Здесь мы немного изменим Snort. Вместо того, чтобы искать вредоносный трафик, поступающий в нашу сеть, мы хотим искать подозрительные ключевые слова, исходящие из Интернета или отправляемые на машину подозреваемого. Если любое из этих слов появляется в его трафике, он отправит нам предупреждение. Первым шагом будет загрузка Snort , если у вас его ещё нет. Его можно найти в репозитории Kali, поэтому вам нужно всего лишь ввести следующее. (Если у вас установлена последняя версия Kali, она уже установлена в вашей системе, и вам не нужно этого делать.) kali > apt-get install snort
Это должно успешно установить Snort в вашей системе.
Шаг 7 : Настройка правил Snort
Snort использует набор правил для поиска вредоносного трафика. Кроме того, Snort позволяет добавлять собственные правила. В данном случае мы отключим все правила, отслеживающие вредоносный трафик, и вместо этого создадим правила, которые будут искать подозрительные ключевые слова, которые могут указывать на намерения злоумышленника. Откроем файл snort.conf в любом текстовом редакторе. В данном случае я буду использовать Leafpad.
Кали > листовая панель /etc/snort/snort.conf
Теперь нам нужно перейти в конец этого файла и закомментировать все include, относящиеся к файлам правил. В моём snort.conf include начинаются со строки 570 с локальными правилами (ваши могут немного отличаться). Это отключит все правила Snort, поставляемые с IDS. Просмотрите каждую строку, кроме «include local.rules», и добавьте символ # перед каждым include. Это гарантирует, что Snort активирует и использует только наши локальные правила.
Шаг 8 : Напишите правила для поиска подозрительного трафика
На последнем этапе нам нужно создать правила Snort, которые будут искать в интернет-трафике подозреваемого ключевые слова, указывающие на его намерение совершить вредоносную деятельность. ФБР с его инструментом Carnivore и АНБ с Prism разработали аналогичные инструменты. Ключевые слова могут различаться в зависимости от обстоятельств, но я настрою оповещения на каждый раз, когда подозреваемый отправляет или получает трафик, содержащий слова «джихад», «ИГИЛ», «самоубийство» или «бомба». Конечно, эти ключевые слова могут и будут различаться, и я использую их здесь только в демонстрационных целях.
Давайте откроем файл local.rules в текстовом редакторе и напишем правила.
Кали > листовая панель /etc/snort/rules/local.rule
Когда файл откроется, добавьте следующие правила, как показано на снимке экрана ниже.
Теперь сохраните файл local.rules и запустите Snort. kali > snort -vde -c /etc/snort/snort.conf Всякий раз, когда у подозреваемого есть какой-либо интернет-трафик, содержащий эти ключевые слова, Snort отправит вам предупреждение и запишет пакет в журнал, чтобы вы могли позже вернуться и изучить, что он просматривал.
Резюме
Мы успешно разработали систему слежения, которая будет предупреждать нас о каждом сетевом трафике, содержащем подозрительные ключевые слова, от нашего предполагаемого террориста. Возможно, мы спасли множество невинных жизней, мои начинающие хакеры, просто применив базовые навыки кибервоина!
