6 Instrumente de atac HTTP MITM pentru cercetătorii de securitate

de
Tweet
Share
Share
Pin

Un atac de tip „om în mijloc” (man-in-the-middle – MITM) se produce atunci când un actor malefic se interpune într-o comunicare de rețea sau într-un transfer de date. Atacatorul se poziționează pe traiectoria transferului, simulând sau acționând ca un participant legitim la dialog.

În esență, atacatorii se inserează între solicitările primite și răspunsurile transmise. Un utilizator ar crede în continuare că interacționează direct cu serverul sau aplicația web dorită (cum ar fi Facebook, Twitter sau platforma bancară online). În realitate, solicitările sale sunt îndreptate către intermediarul care, la rândul său, comunică cu serverul sau aplicația în numele utilizatorului.

Imagine furnizată de Imperva

Așadar, „omul din mijloc” are acces la tot fluxul de informații, incluzând cererile și răspunsurile primite de la serverul țintă. Pe lângă vizualizarea conversației, intermediarul poate altera cererile și răspunsurile, poate sustrage datele de autentificare, poate direcționa utilizatorul către un server controlat de atacator sau poate comite alte infracțiuni cibernetice.

În general, un atacator are capacitatea de a intercepta comunicațiile sau datele de la oricare dintre participanții la o conversație. Acesta poate modifica informațiile sau poate distribui link-uri sau răspunsuri malițioase ambelor părți implicate. Adesea, acest lucru poate rămâne nedetectat pentru o perioadă îndelungată, până în momentul în care prejudiciul devine considerabil.

Tehnici frecvente de atac de tip „om în mijloc”

Analiza pachetelor (Sniffing): Atacatorul utilizează instrumente speciale pentru a inspecta pachetele de rețea la un nivel fundamental. Această analiză îi permite să vizualizeze pachetele de date la care în mod normal nu ar trebui să aibă acces.

Injecția de pachete: Atacatorii introduc pachete malițioase în fluxurile de comunicare de date. Înainte de a injecta, aceștia efectuează o analiză a pachetelor pentru a stabili cum și când să trimită pachetele dăunătoare. Odată injectate, pachetele malițioase se amestecă cu cele legitime, complicând detecția.

Deturnarea sesiunii: Multe aplicații web creează un simbol de sesiune temporar la autentificare, evitând necesitatea introducerii constante a parolei. Atacatorii, utilizând instrumente de analiză a pachetelor, pot identifica și exploata acest simbol de sesiune, uzurpând identitatea utilizatorului legitim.

Eliminarea SSL: Atacatorii pot utiliza tehnica de eliminare SSL (SSL stripping) pentru a intercepta pachete legitime, a modifica solicitările bazate pe HTTPS și a le redirecționa către echivalentul HTTP nesecurizat. Astfel, gazda va iniția o cerere necriptată către server, expunând datele sensibile ca text simplu, ușor de furat.

Consecințele atacurilor MITM

Atacurile MITM reprezintă un pericol semnificativ pentru orice organizație, putând genera pierderi financiare și de reputație.

Infractorii pot obține și utiliza abuziv informațiile sensibile și private ale organizației. De exemplu, aceștia pot sustrage date de autentificare (nume de utilizator și parole), detalii despre carduri de credit, pentru a transfera fonduri sau a efectua achiziții neautorizate. Datele de autentificare furate pot fi folosite și pentru a instala programe malware sau pentru a sustrage alte informații sensibile – folosite ulterior pentru șantaj.

Din acest motiv, este crucială protejarea utilizatorilor și a sistemelor digitale pentru a minimiza riscurile asociate cu atacurile MITM.

Instrumente de atac MITM pentru echipele de securitate

Pe lângă adoptarea unor soluții și practici de securitate robuste, este esențială utilizarea instrumentelor adecvate pentru a evalua sistemele și a identifica vulnerabilitățile care ar putea fi exploatate de atacatori. Iată câteva dintre instrumentele de atac HTTP MITM utile pentru cercetătorii în domeniul securității:

Hetty

Hetty este un set de instrumente HTTP open-source, rapid, cu funcționalități avansate, care vine în sprijinul cercetătorilor în securitate, echipelor de securitate și comunității de bug bounty. Acest instrument ușor, care include o interfață web Next.js integrată, acționează ca un proxy „om în mijloc” HTTP.

Caracteristici principale:

  • Permite realizarea unei căutări cuprinzătoare.
  • Include un modul de expeditor care facilitează trimiterea manuală a solicitărilor HTTP, pornind de la solicitări deja existente din jurnalul proxy sau prin crearea lor de la zero.
  • Dispune de un modul de atacator care automatizează trimiterea de cereri HTTP.
  • Oferă o instalare simplă și o interfață ușor de utilizat.
  • Permite trimiterea manuală a solicitărilor HTTP, pornind de la zero, prin crearea solicitării sau prin copierea acesteia din jurnalul Proxy.

Bettercap

Bettercap este un instrument extins și scalabil pentru recunoaștere și atac de rețea.

Această soluție ușor de utilizat pune la dispoziția inginerilor de reverse, experților în securitate și echipelor „red team” toate instrumentele necesare pentru testarea sau atacarea rețelelor Wi-Fi, IP4, IP6, dispozitivelor Bluetooth Low Energy (BLE) și a dispozitivelor HID wireless. În plus, instrumentul dispune de funcționalități de monitorizare a rețelei și alte caracteristici, precum crearea unui punct de acces fals, analizor de parole, spoofer DNS, captarea handshak-ului etc.

Caracteristici principale:

  • Include un analizor de rețea puternic, care identifică datele de autentificare și colectează informații sensibile.
  • Este un instrument robust și extensibil.
  • Permite testarea activă și pasivă a gazdelor din rețea pentru a identifica potențialele vulnerabilități MITM.
  • Oferă o interfață web interactivă și intuitivă, permițând execuția unei game largi de atacuri MITM, detectarea acreditărilor, controlul traficului HTTP și HTTP etc.
  • Extrage toate datele colectate (acreditări POP, IMAP, SMTP și FTP, URL-uri vizitate, gazde HTTPS, cookie-uri HTTP, date postate HTTP, etc.), prezentându-le într-un fișier extern.
  • Permite manipularea sau modificarea traficului TCP, HTTP și HTTPS în timp real.

Proxy.py

Proxy.py este un server proxy open-source ușor pentru WebSockets, HTTP, HTTPS și HTTP2. Disponibil sub forma unui singur fișier Python, acest instrument rapid permite cercetătorilor să inspecteze traficul web, inclusiv aplicațiile criptate TLS, consumând resurse minime.

Caracteristici principale:

  • Este un instrument rapid și scalabil, care poate gestiona zeci de mii de conexiuni pe secundă.
  • Include funcții programabile, precum un server web integrat, un proxy și personalizarea rutei HTTP.
  • Are o arhitectură ușoară, utilizând doar 5-20 MB de RAM. Se bazează pe bibliotecile standard Python și nu necesită dependențe externe.
  • Oferă un tablou de bord personalizabil în timp real, care poate fi extins cu plugin-uri. De asemenea, oferă opțiunea de a inspecta, monitoriza, configura și controla proxy.py în timpul funcționării.
  • Instrumentul securizat utilizează TLS pentru a asigura criptarea end-to-end între proxy.py și client.

Mitmproxy

mitmproxy este o soluție proxy HTTPS open-source și ușor de utilizat.

Acest instrument ușor de instalat acționează ca un proxy HTTP „om în mijloc” SSL și dispune de o interfață de consolă care permite inspectarea și modificarea fluxului de trafic în timp real. Poate fi utilizat ca proxy HTTP sau HTTPS pentru a înregistra, vizualiza și manipula tot traficul de rețea. Mitmproxy este de obicei un set de trei instrumente puternice: mitmproxy (interfață de consolă), mitmweb (interfață web) și mitmdump (versiunea linie de comandă).

Caracteristici principale:

  • Un instrument interactiv și fiabil pentru analizarea și modificarea traficului HTTP.
  • Un instrument flexibil, stabil, fiabil, ușor de instalat și utilizat.
  • Permite interceptarea și modificarea cererilor și răspunsurilor HTTP și HTTPS în timpul funcționării.
  • Înregistrează și salvează conversațiile HTTP pe partea client și server, permițând redarea și analizarea ulterioară.
  • Generează certificate SSL/TLS pentru a permite interceptarea traficului în timp real.
  • Funcțiile de proxy invers permit redirecționarea traficului de rețea către un alt server.

Burp

Burp este un instrument de scanare a vulnerabilităților automatizat și scalabil. Este o alegere populară printre profesioniștii în securitate, permițând cercetătorilor să testeze aplicații web și să identifice vulnerabilitățile exploatabile pentru atacuri MITM.

Utilizează un flux de lucru condus de utilizator, oferind o imagine clară asupra modului în care funcționează aplicația țintă. Burp acționează ca un proxy web, poziționându-se ca un intermediar între browserul web și serverele de destinație, permițând interceptarea, analiza și modificarea traficului de cerere și răspuns.

Caracteristici principale:

  • Permite interceptarea și inspectarea traficului brut de rețea în ambele direcții, între browser și server.
  • Întrerupe conexiunile TLS în traficul HTTPS dintre browser și server, permițând atacatorului să vizualizeze și să modifice datele criptate.
  • Oferă opțiunea de a utiliza browserul încorporat Burp sau un browser web extern standard.
  • Reprezintă o soluție automatizată, rapidă și scalabilă de scanare a vulnerabilităților, eficientizând testarea aplicațiilor web și identificarea unui spectru larg de vulnerabilități.
  • Afișează individual cererile și răspunsurile HTTP interceptate.
  • Permite examinarea manuală a traficului interceptat pentru o înțelegere detaliată a atacurilor.

Ettercap

Ettercap este un analizor și interceptor de trafic de rețea open-source.

Acest instrument extins pentru atacuri MITM permite cercetătorilor să analizeze o varietate de protocoale și gazde de rețea. De asemenea, poate înregistra pachetele de rețea într-o rețea LAN și în alte medii. În plus, analizatorul de trafic multifuncțional poate detecta și opri atacurile de tip „om în mijloc”.

Caracteristici principale:

  • Interceptează traficul de rețea și captează date de autentificare, cum ar fi parolele. Poate decripta datele criptate și extrage acreditări, cum ar fi nume de utilizator și parole.
  • Potrivit pentru analiza profundă a pachetelor, testare, monitorizarea traficului de rețea și filtrarea conținutului în timp real.
  • Acceptă interceptarea, analiza activă și pasivă a protocoalelor de rețea, inclusiv cele cu criptare.
  • Analizează topologia unei rețele și identifică sistemele de operare instalate.
  • Oferă o interfață grafică intuitivă, cu opțiuni de operare interactivă și non-interactivă.
  • Utilizează tehnici de analiză precum interceptarea ARP, filtrarea IP și MAC pentru interceptarea și analizarea traficului.

Prevenirea atacurilor MITM

Identificarea atacurilor MITM poate fi dificilă, deoarece se produc în mod invizibil pentru utilizatori, atacatorii făcând ca totul să pară normal. Cu toate acestea, există câteva practici de securitate pe care organizațiile le pot adopta pentru a preveni aceste atacuri:

  • Securizați conexiunile la internet în rețelele de serviciu sau de acasă, prin utilizarea unor soluții și instrumente eficiente de securitate pe servere și computere, precum și prin soluții de autentificare fiabile.
  • Implementați criptarea puternică WEP/WAP pentru punctele de acces.
  • Asigurați-vă că toate site-urile web vizitate sunt securizate și utilizează HTTPS în URL.
  • Evitați să faceți clic pe e-mailuri și link-uri suspecte.
  • Implementați HTTPS și dezactivați protocoalele TLS/SSL nesigure.
  • Utilizați rețele private virtuale (VPN) acolo unde este posibil.
  • Utilizați instrumentele menționate mai sus și alte soluții HTTP pentru a identifica și a corecta toate vulnerabilitățile de tip „om în mijloc” care ar putea fi exploatate de atacatori.