Ранее в серии «Шпионьте за кем угодно» мы использовали свои хакерские навыки, чтобы превратить компьютер жертвы в жучок, который записывал разговоры, а также находил и скачивал конфиденциальные документы с чужого компьютера. В этом уроке я покажу вам, как шпионить за интернет-трафиком любого человека.
Ради интереса предположим, что у нас есть подозреваемый террорист, за которым нужно следить, поскольку есть основания полагать, что он планирует теракт (прямо как в вчерашних новостях!). Наш работодатель (предположительно, правоохранительные органы, военные или разведывательное агентство) попросил нас проследить за его интернет-трафиком, чтобы проверить обоснованность наших подозрений. Как это сделать?
Во-первых, если он использует беспроводную сеть, это может быть проще всего. Мы можем взломать его пароль WPA2 или PIN-код WPS. В любом случае, взломав код доступа, мы сможем войти в его точку доступа и подключиться к той же сети.
Во-вторых, мы могли бы физически разместить себя в той же сети по месту его работы, в школе, учреждении и т. д. Мы могли бы выдать себя за нового сотрудника, нового студента, ремонтника и т. д. и таким образом получить доступ к сети.
В-третьих, мы можем взломать его компьютер или любой другой компьютер в той же сети и завладеть им. Это может оказаться самым трудоёмким и трудоёмким вариантом. В любом случае, я предполагаю, что у вас есть доступ к той же сети, что и у подозреваемого, поэтому давайте продолжим это руководство.
kali > ettercap -G
Когда мы это делаем, открывается графический интерфейс, подобный показанному ниже.
Выберите интерфейс, который вы хотите прослушивать. В проводной сети это обычно eth0. В беспроводной сети это обычно wlan0.
Когда Ettercap завершит сканирование сети, нам нужно снова выбрать меню «Хосты» и выбрать «Список хостов». Теперь Ettercap покажет все хосты в сети с IP-адресами и MAC-адресами.
Затем выберите цели из списка хостов. На вкладке «Список хостов» выберите подозреваемый хост в качестве цели 1, а маршрутизатор — в качестве цели 2.
Теперь мы успешно расположились между подозреваемым и его маршрутизатором, и весь его интернет-трафик проходит через нашу систему!
Изначально Snort был разработан как система обнаружения вторжений (IDS) для анализа интернет-трафика и поиска вредоносной активности. Он перехватывает каждый пакет и проверяет его, используя свою базу правил для поиска трафика, который может быть вредоносным. Snort делает это автоматически и прозрачно, практически без вмешательства человека.
Здесь мы немного изменим Snort. Вместо поиска вредоносного трафика, поступающего в нашу сеть, мы будем искать подозрительные ключевые слова, исходящие из интернета или отправляемые на компьютер подозреваемого. Если любое из этих слов встречается в его трафике, мы получим оповещение.
Первый шаг — скачать Snort , если у вас его ещё нет. Его можно найти в репозитории Kali, поэтому вам нужно всего лишь ввести следующее. (Если у вас установлена последняя версия Kali, она уже установлена в вашей системе, и вам не нужно ничего делать.)
kali > apt-get install snort
Это должно успешно установить Snort в вашей системе.
Нам нужно открыть snort.conf в любом текстовом редакторе. Я буду использовать Leafpad.
Кали > листовая панель /etc/snort/snort.conf
Теперь нам нужно перейти в конец этого файла и закомментировать все «include», относящиеся к файлам правил. В моём snort.conf «include» начинаются со строки 570 с локальными правилами (ваши могут немного отличаться). Это отключит все правила Snort, поставляемые с IDS.
Просмотрите каждую строку, кроме «include local.rules», и добавьте символ # перед каждым include. Это гарантирует, что Snort активирует и будет использовать только наши локальные правила.
Давайте откроем файл local.rules в Leafpad и напишем правила.
Кали > листовая панель /etc/snort/rules/local.rule
Когда файл откроется, добавьте следующие правила, как показано на снимке экрана ниже.
Теперь сохраните файл local.rules и запустите Snort.
kali > snort -vde -c /etc/snort/snort.conf
Всякий раз, когда у подозреваемого обнаруживается интернет-трафик, содержащий эти ключевые слова, Snort отправит вам оповещение и зарегистрирует пакет, чтобы вы могли вернуться позже и изучить, что он просматривал.
Мы успешно разработали систему слежения, которая будет предупреждать нас о каждом сетевом трафике, содержащем подозрительные ключевые слова, от нашего предполагаемого террориста. Возможно, мы спасли множество невинных жизней, мои начинающие хакеры, просто применив базовые навыки хакинга!
Ради интереса предположим, что у нас есть подозреваемый террорист, за которым нужно следить, поскольку есть основания полагать, что он планирует теракт (прямо как в вчерашних новостях!). Наш работодатель (предположительно, правоохранительные органы, военные или разведывательное агентство) попросил нас проследить за его интернет-трафиком, чтобы проверить обоснованность наших подозрений. Как это сделать?
Шаг 1: Запустите Кали и получите доступ к его сети
Первым делом, конечно же, запускаем Kali, наш проверенный и надёжный хакерский инструментарий. В нём есть множество хакерских инструментов. Прежде чем мы сможем шпионить за подозреваемым, нам нужно подключиться к той же сети. Это можно сделать разными способами.Во-первых, если он использует беспроводную сеть, это может быть проще всего. Мы можем взломать его пароль WPA2 или PIN-код WPS. В любом случае, взломав код доступа, мы сможем войти в его точку доступа и подключиться к той же сети.
Во-вторых, мы могли бы физически разместить себя в той же сети по месту его работы, в школе, учреждении и т. д. Мы могли бы выдать себя за нового сотрудника, нового студента, ремонтника и т. д. и таким образом получить доступ к сети.
В-третьих, мы можем взломать его компьютер или любой другой компьютер в той же сети и завладеть им. Это может оказаться самым трудоёмким и трудоёмким вариантом. В любом случае, я предполагаю, что у вас есть доступ к той же сети, что и у подозреваемого, поэтому давайте продолжим это руководство.
Шаг 2: Проведение атаки MitM
Хотя существует множество способов проведения атаки MitM (man-in-the-middle), самый простой, пожалуй, — это использование Ettercap, встроенного в Kali и имеющего как командную строку, так и графический интерфейс. Для простоты воспользуемся графическим интерфейсом. Активировать графический интерфейс Ettercap можно, введя:kali > ettercap -G
Когда мы это делаем, открывается графический интерфейс, подобный показанному ниже.
Шаг 3: Займите центральное положение
На следующем этапе нам нужно расположиться посередине между подозреваемым и его маршрутизатором. Первым делом нужно заставить Ettercap проанализировать сеть. Перейдите в меню «Снифф» и выберите «Унифицированный сниффинг».
Выберите интерфейс, который вы хотите прослушивать. В проводной сети это обычно eth0. В беспроводной сети это обычно wlan0.
Шаг 4: Сканирование хостов
Следующий шаг — сканирование хостов. Это означает, что Ettercap просканирует сеть и определит IP- и MAC-адреса всех систем в сети. В меню «Хосты» выберите «Сканировать хосты».
Когда Ettercap завершит сканирование сети, нам нужно снова выбрать меню «Хосты» и выбрать «Список хостов». Теперь Ettercap покажет все хосты в сети с IP-адресами и MAC-адресами.
Шаг 5: Начните атаку MitM
Выберите меню «Mitm» в верхней части экрана. В нём появится несколько вариантов. Выберите «Отравление Arp».
Затем выберите цели из списка хостов. На вкладке «Список хостов» выберите подозреваемый хост в качестве цели 1, а маршрутизатор — в качестве цели 2.
Теперь мы успешно расположились между подозреваемым и его маршрутизатором, и весь его интернет-трафик проходит через нашу систему!
Шаг 6: Используйте Snort как инструмент шпионажа
Теперь, когда мы установили связь между подозреваемым и его маршрутизатором, весь его трафик должен проходить через наш компьютер. Это означает, что мы можем «видеть» весь его трафик. Мы могли бы просто анализировать его трафик с помощью снифферов, таких как Wireshark, но это означало бы утомительную фильтрацию, сканирование и сохранение всего трафика для поиска подозрительной активности. Наша задача была бы гораздо проще, если бы мы могли автоматизировать этот процесс.Изначально Snort был разработан как система обнаружения вторжений (IDS) для анализа интернет-трафика и поиска вредоносной активности. Он перехватывает каждый пакет и проверяет его, используя свою базу правил для поиска трафика, который может быть вредоносным. Snort делает это автоматически и прозрачно, практически без вмешательства человека.
Здесь мы немного изменим Snort. Вместо поиска вредоносного трафика, поступающего в нашу сеть, мы будем искать подозрительные ключевые слова, исходящие из интернета или отправляемые на компьютер подозреваемого. Если любое из этих слов встречается в его трафике, мы получим оповещение.
Первый шаг — скачать Snort , если у вас его ещё нет. Его можно найти в репозитории Kali, поэтому вам нужно всего лишь ввести следующее. (Если у вас установлена последняя версия Kali, она уже установлена в вашей системе, и вам не нужно ничего делать.)
kali > apt-get install snort
Это должно успешно установить Snort в вашей системе.
Шаг 7: Настройка правил Snort
Snort использует набор правил для поиска вредоносного трафика. Кроме того, Snort позволяет добавлять собственные правила. В данном случае мы отключим все правила, отслеживающие вредоносный трафик, и вместо этого создадим правила, которые будут искать подозрительные ключевые слова, которые могут указывать на намерения подозреваемого.Нам нужно открыть snort.conf в любом текстовом редакторе. Я буду использовать Leafpad.
Кали > листовая панель /etc/snort/snort.conf
Теперь нам нужно перейти в конец этого файла и закомментировать все «include», относящиеся к файлам правил. В моём snort.conf «include» начинаются со строки 570 с локальными правилами (ваши могут немного отличаться). Это отключит все правила Snort, поставляемые с IDS.
Просмотрите каждую строку, кроме «include local.rules», и добавьте символ # перед каждым include. Это гарантирует, что Snort активирует и будет использовать только наши локальные правила.
Шаг 8: Напишите правила для поиска подозрительного трафика
На последнем этапе нам нужно создать правила Snort, которые будут искать в интернет-трафике подозреваемого ключевые слова, указывающие на его намерение совершить вредоносную деятельность. Это может зависеть от обстоятельств, но я настрою оповещения на каждый раз, когда подозреваемый отправляет или получает трафик, содержащий слова «джихад», «ИГИЛ», «самоубийство» или «бомба». Конечно, эти ключевые слова могут и будут различаться, и я использую их здесь только в демонстрационных целях.Давайте откроем файл local.rules в Leafpad и напишем правила.
Кали > листовая панель /etc/snort/rules/local.rule
Когда файл откроется, добавьте следующие правила, как показано на снимке экрана ниже.
Теперь сохраните файл local.rules и запустите Snort.
kali > snort -vde -c /etc/snort/snort.conf
Всякий раз, когда у подозреваемого обнаруживается интернет-трафик, содержащий эти ключевые слова, Snort отправит вам оповещение и зарегистрирует пакет, чтобы вы могли вернуться позже и изучить, что он просматривал.
Мы успешно разработали систему слежения, которая будет предупреждать нас о каждом сетевом трафике, содержащем подозрительные ключевые слова, от нашего предполагаемого террориста. Возможно, мы спасли множество невинных жизней, мои начинающие хакеры, просто применив базовые навыки хакинга!
