В настоящий момент наблюдается масштабная атака трояном-декриптором “Wana decrypt0r 2.0”

Атака наблюдается в разных сетях совершенно никак не связанных между с собой, а также в разных странах.

Карта заражения онлайн

Во второй половине дня 12 мая зафиксирована крупная хакерская атака, зафиксированы уже 36 тыс. заражений. Программа блокирует компьютеры сразу в нескольких странах по всему миру и требует оплаты, выраженной в криптовалюте — биткоинах.

Сообщения об атаках приходят из России, Великобритании, США, Китая, Испании, Италии, Вьетнама, Тайваня и ряда других стран.

Он написан на C ++ и не было попыток скрыть большую часть кода. Как и большинство семейств Ransomware, WCry переименовывает файлы, которые он шифрует, добавляя расширение .WNCRY.

При заражении системы он представляет экран выкупа, требующий оплаты биткойнов в размере 300$

Как происходит заражение?

В настоящий момент WCry в основном распространяется через утечку эксплойтов NSA, которые недавно выпустила группа Shadow Brokers. Более конкретно, французский исследователь Каффин был первым, кто подозревал, что WCry распространяется через эксплойт ETERNALBLUE.

ETERNALBLUE использует уязвимость в протоколе Microsoft SMBv1, позволяя злоумышленнику управлять системами, у которых:

• Включен протокол SMBv1
• Не были установлены исправления MS17-010, выпущенным еще в марте 2017 года

Кроме того, выясняется, что авторы вредоносных программ также используют DOUBLESPEAR, бэкдор, который обычно устанавливается с помощью эксплойта ETERNALBLUE и сохраняется в системе. Так что, если ваша система ранее была взломана ETERNALBLUE, скорее всего, ваша система все еще уязвима, даже если первоначальная уязвимость SMBv1 была исправлена.

Сам исполняемый файл ransomware можно лучше всего описать как dropper, содержащий все различные компоненты ransomware в виде ZIP-архива, защищенного паролем. Когда он запускается, он начинает распаковывать свои компоненты в каталог, используя жесткий пароль «WNcry @ 2ol7». Более внимательный просмотр ZIP-архива показывает следующие файлы:

• B.wnry – Ransom обои для рабочего стола
  
  
• C.wnry – конфигурационный файл, содержащий адреса серверов C2, кошелек BitCoin и т. Д.
  
  
• R.wnry – сообщение о выкупе.
  
  
• S.wnry – ZIP-архив, содержащий клиент TOR.
  
  
• T.wnry – часть шифрования ransomware, зашифрованная с использованием специального формата WanaCry; Может быть расшифрован с использованием закрытого ключа, встроенного в исполняемый файл ransomware.
  
  
• U.wnry – исполняемый файл Decrypter
  
  
• Taskdl.exe – удаляет все временные файлы, созданные во время шифрования (.WNCRYT)
  
  
• Taskse.exe – запускает данную программу во всех сеансах пользователя
  
  
• Msg * – Языковые файлы (в настоящее время 28 разных языков)

Кроме того, в процессе выполнения ransomware создает несколько дополнительных файлов:

• 00000000.eky – ключ шифрования для файла t.wnry, в котором хранится фактический компонент шифрования файлов. Он зашифровывается с использованием открытого ключа, принадлежащего закрытому ключу, встроенному в вымогатель.
  
  
• 00000000.pky – открытый ключ, используемый программой ransomware для шифрования сгенерированных ключей AES, которые используются для шифрования файлов пользователя.
  
  
• 00000000.res – C2 сообщение

WCry генерация ключей шифрования

WCry ransomware использует комбинацию RSA и AES-128-CBC для шифрования данных жертвы. Для облегчения этого процесса используется Windows CryptoAPI для RSA, но собственная реализация шифрования AES.

Интересно, что программа шифрования хранится в отдельном компоненте в файле t.wnry и сама зашифровывается с использованием того же метода, который используется программой ransomware для шифрования пользовательских файлов. Это, скорее всего, было сделано, чтобы сделать анализ вредоносных программ более сложным. Модуль загружается в память с помощью пользовательского загрузчика и выполняется оттуда, даже не будучи записанным на диск жертвы в не зашифрованном виде.

Когда WCry проникает в систему, он сначала импортирует ключ RSA, который используется для дешифрования компонента шифрования файлов, хранящегося в «t.wnry». После этого вымогатель генерирует новый частный ключ RSA. Этот ключ RSA затем передается на сервер управления вредоносными программами, а копия сгенерированного открытого ключа сохраняется в системе.

Затем ransomware ищет все доступные диски и сетевые ресурсы содержащие файлы с одним из следующих расширений:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h

После этого, вредоносное ПО создает новый 128-разрядный ключ AES для каждого найденного файла, который будет зашифрован с использованием открытого ключа RSA, сгенерированного ранее, и ключ AES с шифрованным RSA хранится в заголовке зашифрованного файла вместе с файлом Маркер “WANACRY!”. Затем ключ AES используется для шифрования содержимого файла.

К сожалению, после оценки того, как WCry выполняет шифрование, нет способа восстановить зашифрованные файлы без доступа к закрытому ключу, сгенерированному ransomware.

Вектор атаки

По-видимому, существует несколько векторов заражения, это один из вариантов:

• Электронная почта, содержащая ссылку или файл PDF с аналогичной ссылкой, перехватывает файл .hta.
  
  Например: hxxp: //www.rentasyventas.com/incluir/rk/imagenes.html? Retencion = 081525418.

Известные центры управления (C&C centers)

• gx7ekbenv2riucmf.onion
• 57g7spgrzlojinas.onion
• xxlvbrloxvriy2c5.onion
• 76jdd2ir2embyv47.onion
• cwwnhwhlz52maqm7.onion

Как проверить что ваш компьютер защищен?

• Откройте cmd.exe (коммандную строку)
• Напишите:

  SYSTEMINFO.exe | findstr KB4013389

• Нажмите Enter
• Если в ответе вы увидите KB4013389, это значит что патч у вас уже установлен и можно спать спокойно
• Если же ответ вернет вам пустую строку, рекомендуется незамедлительно установить обновление по ссылке выше.

Как проверить что ваш компьютер защищен? Еще варианты

Для Windows 10.

Достаточно выполнить в консоли команду winver и ориентироваться на номер версии и сборки. Вы в безопасности, если:

• версия 1703, любая сборка
• версия 1607, сборка 14393.953 или выше
• версия 1511, сборка 105867.839 или выше
• версия 1507 (эта версия может не отображаться, тогда ориентируйтесь по сборке 10240), сборка 10240.17319 или выше

Для Windows 7:

Right-click Start > Control Panel > Windows Update > View installed updates. You should have one of these listed:

• KB 4012212 the March Security-Only Group B patch
• KB 4012215 the March Monthly Rollup Group A patch
• KB 4015549 the April Monthly Rollup, which includes the March Monthly Rollup patch for MS17-010

Для Windows 8.1:

Similarly, for Win 8.1, look for these installed updates:

• KB 4012213 the March Security-Only Group B patch
• KB 4012216 the March Monthly Rollup Group A patch
• KB 4015550 the April Monthly Rollup, which incorporate the March Monthly Rollup MS17-010 fixes

Microsoft выпустила патч для Windows XP, Windows 8 и Windows Server 2003 ОС.

Рекомендации по лечению:

• Убедитесь, что включили решения безопасности.
• Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
• Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг системы».
• Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.

Ссылки на исправления от Microsoft для разных ОС:

Windows XP SP3
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

Windows XP SP2 for x64
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows Server 2003 for x86
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

Windows Server 2003 for x64
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

Windows Vista x86 Service Pack 2
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

Windows Vista x64 Edition Service Pack 2
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows Server 2008 for x86
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

Windows Server 2008 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows Server 2008 R2 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows Server 2008 R2 for Itanium
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia64_93a42b16dbea87fa04e2b527676a499f9fbba554.msu

Windows 7 for 32-bit Service Pack 1
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Windows 7 for x64 Service Pack 1
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows 8.1 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu

Windows 8.1 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

Windows 10 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

Windows 10 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Windows 10 Version 1511 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu

Windows 10 Version 1511 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu

Windows 10 Version 1607 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu

Windows 10 Version 1607 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

Еще варианты как обезопасить себя:

Отключите SMB 1.0 через который распространяется Wana decrypt0r 2.0. В Windows 10 SMB 1.0 включен по умолчанию.

Disable SMBv1

For customers running Windows Vista and later

See Microsoft Knowledge Base Article 2696547.

Alternative method for customers running Windows 8.1 or Windows Server 2012 R2 and later

For server operating systems:

Impact of workaround. The SMBv1 protocol will be disabled on the target system.

How to undo the workaround. Retrace the workaround steps, and select the SMB1.0/CIFS File Sharing Support check box to restore the SMB1.0/CIFS File Sharing Support feature to an active state.

1. Open Control Panel, click Programs, and then click Turn Windows features on or off.
2. In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
3. Restart the system.
4. Open Server Manager and then click the Manage menu and select Remove Roles and Features.
5. In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
6. Restart the system.

https://twitter.com/Ripsi_me/status/863303965873758209

Хроника

Сообщается, что в эксплоите была kill switch функция которую сейчас активировали — т.е. распространение имено этой версии прекратилось.

https://twitter.com/GossiTheDog/status/863160534308454400

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

Команды выполняемые «wannadecryptor» ransomware PE, которые в настоящее время вызывают хаос в UK NHS.

https://twitter.com/laurilove/status/863065599919915010

Аааааааа #WannaCry добрался до Сбера! pic.twitter.com/OTsXQywO8G

— dmitriy blinnikov (@discojournalist) May 12, 2017

Атака затронула компьютеры Deutsche Bahn

Зак какие файлами эксплоит охотится и криптует:

Видео показывающее применение эксплойта

Here is a video showing ETERNALBLUE being used to compromise a Windows 2008 R2 SP1 x64 host in under 120 seconds with FUZZBUNCH #0day pic.twitter.com/I9aUF530fU

— Hacker Fantastic (@hackerfantastic) April 14, 2017

Еще подробности

Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.

Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.

В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.

В

этом наборе есть опасный инструмент DoublePulsar.

Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar

простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

Вредонос не только криптует файлы, но и сам осуществляет сканирование интернета на предмет уязвимых хостов (тысячи IP адресов) #WannaCry pic.twitter.com/AJ3UXdChAH

— Group-IB (@GroupIB) May 12, 2017

Microsoft заявил, что пользователи с бесплатным антивирусным программным обеспечением и включенной функцией обновления системы Windows будут защищены от атак.

Некоторые пользователи утверждают, что угрозы о вымогателях криптовалюты были еще в августе 2016 года.

Prediction, premonition, or premeditation? ––@shadowbrokerss threat from August 2016 #wannacrypt #WannaCry pic.twitter.com/FbVDBR1ZoA

— J. A. Guerrero-Saade (@juanandres_gs) May 12, 2017

Financial Times пишет, что WannaCry представляет собой модифицированную вредоносную программу Агентства национальной безопасности США Eternal Blue. Программа распространяет вирус через протоколы обмена файлами, которые установлены на компьютерах многих организаций по всему миру. Пишут, что вирус распространяется с какой-то удивительно высокой скоростью.

Источники

• На форуме Касперского много комментариев
• Статья на Geektime
• Infoworld
• Статья на emsisoft.com
• https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

В данной статье показано 22 примера использования iptables

Файрвол в системе linux контролируется программой iptables (для ipv4) и ip6tables (для ipv6). В данной шпаргалке рассмотрены самые распространённые способы использования iptables для тех, кто хочет защитить свою систему от взломщиков или просто разобраться в настройке.

Знак # означает, что команда выполняется от root. Откройте заранее консоль с рутовыми правами — sudo -i в Debian-based системах или su в остальных.

1. Показать статус.

# iptables -L -n -v

Примерный вывод команды для неактивного файрвола:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination

Читать →

Ettercap — это утилита для анализа сетевого трафика, проходящего через интерфейс компьютера, но с дополнительной функциональностью. Программа позволяет выполнять атаки типа «Человек посередине» чтобы заставить другой компьютер передавать пакеты не маршрутизатору, а вам.

С помощью Ettercap вы можете проверить безопасность своей сети, насколько она подвержена такого типа атакам, а также анализировать трафик из нескольких компьютеров, и даже модифицировать его на лету. В этой статье мы рассмотрим как пользоваться Ettercap для анализа и модификации трафика.

Что такое атака «Человек по середине»?

По умолчанию компьютер отправляет все сетевые пакеты, которые нужно отправить в интернет передает маршрутизатору, а тот, в свою очередь, отправляет их на следующий маршрутизатор, пока пакет не достигнет цели. Но по определенным причинам пакет может передаваться не маршрутизатору, а сразу вашему компьютеру, а уже затем маршрутизатору.

Компьютер, через который будут проходить пакеты может анализировать источник, целевой адрес, а если они не зашифрованы, то и полное их содержимое.

Существует два способа выполнения MITM (Man In Middle Attack):

• ARP атака — с помощью особенностей протокола ARP ваш компьютер говорит другим, что он маршрутизатор, после этого все пакеты начинают предаваться ему;
• DNS атака — когда компьютер пытается получить ip адрес для домена, мы подменяем этот адрес на свой, но чтобы этот вид работал, нужно использовать способ с ARP.

Программа Ettercap Linux умеет выполнять оба вида атак. Кроме того, утилита может выполнять атаки на отказ в обслуживании и сканировать порты. А теперь давайте рассмотрим как выполняется установка и использование Ettercap.

Установка Ettercap

Это довольно популярная программа, среди специалистов по сетевой безопасности, поэтому она есть в официальных репозиториях большинства дистрибутивов. Например, чтобы установить Ettercap в Ubuntu выполните:

sudo apt install ettercap-gtk

В Fedora или других, основанных на ней дистрибутивах, команда будет выглядеть похожим образом:

sudo yum install ettercap-gtk

С задачей как установить Ettercap Linux мы справились, но перед тем, как ее использовать, нужно изменить несколько настроек в конфигурационном файле.

sudo vi /etc/ettercap/etter.conf

Строки ec_uid и ec_gid должны иметь значение 0, чтобы сервис программы работал от имени суперпользователя:

[privs]

ec_uid = 0 # nobody is the default

ec_gid = 0 # nobody is the default

Дальше нужно найти и раскоментировать такие две строки:

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

Они используются для перенаправления SSL соединений на обычные HTTP, если это возможно. Дальше сохраните изменения и программа готова к работе.

Использование Ettercap GUI

Программа может работать в нескольких режимах — с графическим интерфейсом, без и в виде сервиса. Мы будем рассматривать работу в графическом интерфейсе. Для запуска программы с интерфейсом GTK используйте опцию -G:

sudo -E ettercap -G

Опцию -E для sudo мы используем, чтобы сохранить все переменные окружения нашего пользователя. Главное окно программы выглядит очень простым. Сначала мы рассмотрим как выполняется атака ARP-poisoing.

Атака ARP-poisoning в Ettercap

Как я уже говорил, с помощью этой атаки мы можем заставить целевой компьютер отправлять пакеты не маршрутизатору, а нам. Работает все достаточно просто. Компьютер знает IP маршрутизатора, он получил его при подключении к сети. Но каждый раз, когда ему нужно отправить пакет, нужно преобразовать этот универсальный IP адрес в низкоуровневый адрес используемой сетевой технологии, например, для проводного интернета — это MAC адрес.

Для этого используется протокол ARP. Компьютер отправляет запрос всем устройствам в сети, например «кто такой 192.168.1.1» и маршрутизатор, увидев свой адрес отправит в ответе свой MAC. Дальше он будет сохранен в кэше. Но мы можем с помощью Ettercap попросить целевой компьютер обновить свой ARP кэш и передать ему вместо MAC адреса роутера свой MAC адрес. Тогда все пакеты будут передаваться нам, а уже мы отправим их куда нужно.

Перейдем ближе к делу и выполним атаку attercap arp spofing. В Ettercap откройте меню Sniff и выберите Unified Snifing. Затем выберите ваш сетевой интерфейс, например, eth0 или wlan0:

Окно программы измениться и нам будет доступно намного больше функций. Теперь нужно просканировать сеть. Для этого откройте меню Hosts и нажмите Scan hosts. Если даже что-то не работает, то вы можете загрузить список хостов из файла:

Дальше, после быстрого сканирования, если вы откроете Hosts -> Hosts List, то увидите список подключенных к сети устройств:

Чтобы начать атаку нам нужно указать цель 1 и цель 2. В качестве первой цели нужно указать ip машины, которую мы собрались атаковать, а в качестве цели 2 — ip маршрутизатора. Для добавления целей используйте кнопки Add Target 1 и Add Traget 2:

Далее откройте меню MITM и выберите ARP poisoning:

В открывшемся окне отметьте пункт Sniff remote connections, чтобы перехватывать все удаленные соединения от этого компьютера:

Теперь, для запуска процесса подмены в меню Start выберите Start Sniffing.

После этого программа начнет отправлять в сеть пакеты, с запросом для 192.168.1.3 на обновление кэша ARP и замены MAC адреса маршрутизатора на ваш. Атака запущена и успешно выполняется. Вы можете открыть меню View -> Connections и посмотреть активные соединения для целевого устройства:

Если пакет не был зашифрован, то мы можем посмотреть передаваемую информацию клинув по соединению мышью. Слева отображается отправленная информация, а справа — полученная:

Атака DNS-spoofing с помощью Ettercap

Для преобразования имен сайтов в IP адреса сети используется специальная служба — DNS. Когда компьютеру нужен ip сайта он спрашивает его у DNS сервера. Но если вы уже выполняем MITM атаку, то можем подменить ответ сервера таким образом, чтобы вместо IP сервера сайта возвращался наш IP. Сначала нам нужно отредактировать файл /etc/ettercap/etter.dns:

sudo vi /etc/ettercap/etter.dns

google.com.ua A 127.0.0.1

Эта запись означает, что мы подменим основной IP google.com.ua на 127.0.0.1. Обратите внимание, что эта атака не выполняется без предыдущей. Дальше откройте меню Plugins -> Manage Plugins:

Затем два раза кликните по плагину dns_spoof:

Плагин будет активирован и вы можете проверять ip на устройстве. DNS действительно подменяется. Например, вы можете выполнить на целевой машине:

ping google.com.ua

Или:

ping www.ettercap.org

Кроме этих плагинов, существуют и другие, с помощью которых вы можете выполнять нужные действия.

Фильтры Ettercap

Фильтры позволяют модифицировать пропускаемые через программу пакеты прямо на лету. Вы можете отбрасывать пакеты, либо вносить в них необходимые изменения с помощью функции replace. Фильтры тоже работают только пока запущена MITM атака. Синтаксис условий, по которым мы будем фильтровать пакеты очень похож на wireshark. Давайте рассмотрим простенький фильтр, который будет заменять все картинки на нашу:

vi test.filter

if (ip.proto == TCP && tcp.dst == 80) {

if (search(DATA.data, "Accept-Encoding")) {

replace("Accept-Encoding", "Accept-Rubbish!");

# note: replacement string is same length as original string

msg("zapped Accept-Encoding!n");

}

}

if (ip.proto == TCP && tcp.src == 80) {

replace("img src=", "img src="https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png" ");

replace("IMG SRC=", "img src="https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png" ");

msg("Filter Ran.n");

}

Для тех, кто имел опыт работы с языками программирования здесь должно быть все понятно. Если протокол TCP и порт назначения 80, мы продолжаем поиск и ищем Accept-Encoding. Затем заменяем это слово на любое другое, но эквивалентное по длине. Потому что если браузер будет отправлять Accept-Encoding gzip, то данные будут сжаты и мы там ничего не отфильтруем. Дальше уже в ответе сервера, порт источника 80, мы подменяем все изображения на наше. Теперь фильтр нужно скомпилировать:

etterfilter test.filter -o test.ef

Осталось загрузить фильтр с помощью меню Filters -> Load Filter:

Выберите файл фильтра в файловой системе:

Фильтр будет загружен и вы можете открыть любой сайт, где не используется https чтобы убедиться, что все работает. Чтобы остановить MITM атаку, откройте меню MITM и выберите Stop All Mitm attacks. Наша инструкция Ettercap подходит к концу, но…

Как защититься?

Наверное, после прочтения статьи у вас возник резонный вопрос, как же защитить свой компьютер от такого вида атак? Для этого есть несколько инструментов, в том числе для операционной системы Linux:

• XArp — графическая утилита, которая может обнаруживать попытки подмены MAC адресов по протоколу ARP и противодействовать этому. Может работать в WIndows и в Linux;
• Snort — достаточно известная система противодействия вторжениям, среди прочего обнаруживает атаки на протокол ARP;
• ArpON — небольшой сервис, который следит за ARP таблицей и защищает ее от подмены MAC адресов.

Выводы

В этой статье мы рассмотрели как пользоваться Ettercap — программой для анализа сетевых пакетов и выполнения атак типа «Человек посередине». Используйте программу только для тестирования безопасности своих сетей или приложений, а также не забывайте что незаконные действия в информационном пространстве тоже наказуемы.

На завершение видео с демонстрацией работы программы:

https://youtu.be/QhYIzgBqow4