В новой версии Intercepter-NG появилась возможность провести полноценную атаку на SSH-2 протокол.
Атакующий получает данные авторизации пользователя и логирует весь сеанс связи, запуск команд и результат их выполнения.
Для этого Intercepter перенаправляет трафик жертвы на свой собственный ssh сервер и в случае успешной авторизации
проксирует соединение до оригинального сервера.
Если терминальная программа жертвы имела кешированный фингерпринт ключа от удаленного сервера,
то в момент авторизации будет выдано предупреждение о его изменении.
Это единственный подозрительный момент который возникает при проведении атаки.
К счастью атакующего, далеко не все (даже опытные) люди среагируют на это предупреждение должным образом.
До сегодняшнего дня атака на SSH была скорее теоретической, по причине отсутствия ее практической реализации.
И далеко не всегда атакуемый пользователь является администратором ssh сервера, для него смена ключей и предупреждения не имеют никакого значения.
Встроенный в Intercepter ssh сервер поддерживает 2 механизма аутентификации: password и keyboard-interactive.
Во время сеанса связи пользователь может запускать псевдографические приложения (например mc), все будет работать корректно. Так же Intercepter следит за сообщением WINDOW_CHANGE и при ресайзе окна терминала вся графика будет перерисована под новый размер.
Атака рассчитана только на терминальный сеанс, SFTP не поддерживается. Если жертва все-таки запустит SFTP сессию, то будет перехвачена авторизация, но затем соединение будет разорвано и сессия отметится особым образом. При повторном соединении Intercepter пропустит эту сессию напрямую, позволив жертве нормально установить SFTP сеанс с оригинальным сервером.
Стоит помнить, что при проксировании ssh соединения, атакующий неминуемо оставляет свой ip адрес в логах сервера.
В режиме экспертных настроек можно установить соответствующую опцию, которая заставит ssh сервер разрывать соединение сразу после перехвата логина и пароля. После этого желательно остановить атаку и позволить жертве спокойно соединиться с нужным сервером.
Для защиты от атаки можно использовать, пока что не поддерживаемый, режим аутентификации открытым ключом. И конечно внимательней относитесь к предупреждениям о смене отпечатков ключей.
Видео демонстрация атаки
Информация представлена в ознакомительных целях. Автор не несет ответственности за любой возможный вред, причиненный материалами данной статьи.
Автор: Intercepter