Kali Ashes. Закаляем хакерский дистр и учимся не шуметь в сети

Содержание статьи

• Above
• Обращение к репозиториям
• Операции с хостнеймом системы
• TTL
• Отключение NTP
• Работа с netfilter
• Отключение ICMP
• Рандомизация MAC-адреса
• Минимизация шума
• F31
• Выводы

Дис­три­бутив Kali Linux неверо­ятно популя­рен сре­ди пен­тесте­ров. Одна­ко при про­ник­новении в сеть с нас­трой­ками по умол­чанию он может соз­дать мно­го шума в эфи­ре, который не оста­нет­ся незаме­чен­ным. В этой статье я рас­ска­жу о хар­денин­ге Kali и о том, как научить Linux работать в наибо­лее тихом режиме. warning

Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности, про­водя­щих тес­тирова­ние в рам­ках кон­трак­та. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Рас­простра­нение вре­донос­ных прог­рамм, наруше­ние работы сис­тем и наруше­ние тай­ны перепис­ки прес­леду­ются по закону.

Что­бы мож­но было авто­мати­зиро­вать нас­трой­ку, я недав­но зарели­зил инс­тру­мент F31, написан­ный на Bash. Даль­ше мы под­робно раз­берем, что имен­но он дела­ет.

Эта статья и F31 не гаран­тиру­ют тебе стоп­роцен­тный обход сис­тем, за которы­ми приг­лядыва­ет SOC, но ты зна­читель­но сни­зишь веро­ятность спа­лить­ся. Каж­дый пен­тест сети уни­кален, и написать уни­вер­саль­ное решение вряд ли воз­можно. Уве­рен, что есть и дру­гие спо­собы умень­шить шум в эфи­ре. Но мы сос­редото­чим­ся на глав­ных момен­тах.

Above

Above — еще один мой инс­тру­мент, это сетевой сниф­фер про­токо­лов для поис­ка уяз­вимос­тей в сетевом обо­рудо­вании. Его работа осно­вана толь­ко на ана­лизе тра­фика, что не соз­дает никако­го шума в эфи­ре.

Он охва­тыва­ет сле­дующие про­токо­лы:

• L2: CDP, LLDP, DTP, 802.1Q Frames;
• L3: OSPF, EIGRP, VRRP, HSRP;
• L7: LLMNR, NBT-NS, MDNS, SSDP, MNDP.

Кста­ти говоря, Above недав­но вклю­чили в Kali Linux! Ты можешь уста­новить его пря­мо из репози­тори­ев Kali:

sudo apt update && sudo apt install above above --help

Что­бы начать ана­лизи­ровать тра­фик:

sudo above --interface eth0 --timer 250 --output-pcap vettel.pcap

Здесь

• --interface eth0 — интерфейс сис­темы;
• --timer 250 — вре­мя, в течение которо­го будет про­водить­ся ана­лиз;
• --output-pcap — файл дам­па тра­фика, куда Above запишет все, что смо­жет най­ти.

При­мер работы Above

С помощью Above мож­но искать век­торы атак на сеть и при этом не соз­давать никако­го шума в эфи­ре.

Обращение к репозиториям

Ес­ли во вре­мя работы в сети в рам­ках пен­теста ты обра­тишь­ся к репози­тори­ям Kali, имей в виду, что SOC может сра­зу обна­ружить это дей­ствие. Даже если вклю­чить обра­щение к репози­тори­ям через HTTPS, ты все рав­но можешь спа­лить­ся по DNS-зап­росу.

Операции с хостнеймом системы

Да‑да‑да, совет менять хос­тнейм Kali — это страш­ный баян. Тем не менее дефол­тный хос­тнейм Kali так и оста­ется глав­ным инди­като­ром обна­руже­ния это­го дис­тра в сети.

Ре­шение прос­тое до безоб­разия. Мы не толь­ко поменя­ем имя сис­темы, но и заод­но зап­ретим переда­чу хос­тней­ма в пакетах DHCP, которые ухо­дят, ког­да ата­кующий пыта­ется получить адрес в сети.

sudo hostnamectl set-hostname DESKTOP-HNA2AEVS sudo sed -i "s/127.0.1.1.*/127.0.1.1tDESKTOP-HNA2AEVS/" /etc/hosts

От­клю­чить переда­чу име­ни сис­темы по DHCP мож­но в connection-фай­лах NetworkManager, добавив параметр dhcp-send-hostname=false:

sudo sed -i '/[ipv4]/a dhcp-send-hostname=false' /etc/NetworkManager/system-connections/Wired connection 1  

TTL

Источник: xakep.ru