MiTM атака на SSH

в 7:32, , рубрики: intercepter-ng, sniffer, информационная безопасность, метки: ,

В новой версии Intercepter-NG появилась возможность провести полноценную атаку на SSH-2 протокол.

Атакующий получает данные авторизации пользователя и логирует весь сеанс связи, запуск команд и результат их выполнения.
Для этого Intercepter перенаправляет трафик жертвы на свой собственный ssh сервер и в случае успешной авторизации
проксирует соединение до оригинального сервера.

Если терминальная программа жертвы имела кешированный фингерпринт ключа от удаленного сервера,
то в момент авторизации будет выдано предупреждение о его изменении.
Это единственный подозрительный момент который возникает при проведении атаки.

К счастью атакующего, далеко не все (даже опытные) люди среагируют на это предупреждение должным образом.
До сегодняшнего дня атака на SSH была скорее теоретической, по причине отсутствия ее практической реализации.
И далеко не всегда атакуемый пользователь является администратором ssh сервера, для него смена ключей и предупреждения не имеют никакого значения.

Встроенный в Intercepter ssh сервер поддерживает 2 механизма аутентификации: password и keyboard-interactive.
Во время сеанса связи пользователь может запускать псевдографические приложения (например mc), все будет работать корректно. Так же Intercepter следит за сообщением WINDOW_CHANGE и при ресайзе окна терминала вся графика будет перерисована под новый размер.

Атака рассчитана только на терминальный сеанс, SFTP не поддерживается. Если жертва все-таки запустит SFTP сессию, то будет перехвачена авторизация, но затем соединение будет разорвано и сессия отметится особым образом. При повторном соединении Intercepter пропустит эту сессию напрямую, позволив жертве нормально установить SFTP сеанс с оригинальным сервером.

Стоит помнить, что при проксировании ssh соединения, атакующий неминуемо оставляет свой ip адрес в логах сервера.
В режиме экспертных настроек можно установить соответствующую опцию, которая заставит ssh сервер разрывать соединение сразу после перехвата логина и пароля. После этого желательно остановить атаку и позволить жертве спокойно соединиться с нужным сервером.

Для защиты от атаки можно использовать, пока что не поддерживаемый, режим аутентификации открытым ключом. И конечно внимательней относитесь к предупреждениям о смене отпечатков ключей.

Видео демонстрация атаки

Информация представлена в ознакомительных целях. Автор не несет ответственности за любой возможный вред, причиненный материалами данной статьи.

Автор: Intercepter

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js