W naszej serii Arsenał (Ethical) Hackera opisywałem już narzędzie należące do kategorii implantów sieciowych – Shark Jack. Tym razem zajmę się jednak dużo ciekawszym urządzeniem, które również pochodzi z oferty firmy Hak5. Packet Squirrel, bo o nim mowa, to kieszonkowy minikomputer służący do przeprowadzania ataków typu Man-in-The-Middle.
Jego rozmiary są naprawdę niewielkie – 5 x 4 x 1,5 cm i zaledwie 24 gramy wagi to mniej więcej tyle co pudełko zapałek. Do tego pobór energii na poziomie zaledwie 0,12A pozwala na zasilanie go power bankiem przez wiele dni. Urządzenie pozostawione przez intruza w naszej sieci może więc pozostawać niezauważone i pracować np. przez tydzień z własnym źródłem zasilania pozwalając na zdalną infiltrację sieci.
Packet Squirrel – budowa
Urządzenie posiada dwa porty RJ45 (wejściowy i wyjściowy) dzięki czemu można je wpiąć pomiędzy dowolne urządzenie końcowe a gniazdko sieciowe w ścianie. Idealnym miejscem będzie np. drukarka sieciowa w ogólnodostępnym miejscu. Jest ono na tyle małe, że raczej nie przykuje niczyjej uwagi.
Ponadto w urządzeniu znajdziemy port micro USB służący do zasilania oraz port USB, do którego podłączyć możemy zewnętrzną pamięć flash. Na obudowie znajduje się jeszcze przełącznik pozwalając na wybór trybu pracy (jeden z 3 payloadów lub tryb uzbrajania) oraz przycisk, którego funkcję możemy konfigurować za pomocą skryptów.
Tryby pracy oferowane przez Packet Squirrel
W trybie uzbrajania (przełącznik w pozycji 4) do urządzenia możemy się połączyć za pomocą usługi SSH pod domyślnym adresem 172.16.32.1 (root z hasłem: hak5squirrel). W katalogach /root/payloads/switchX/ znajdziemy skrypty poszczególnych payloadów odpowiadające ustawieniom przełącznika z obudowy (1-3).
Payload 1: tcpdump
Po ustawieniu przełącznika z obudowy w pozycji 1. Packet Squirrel działa w trybie transparentnym dla urządzenia końcowego przechwytując i zrzucając do pliku pcap wszystkie wymieniane z siecią pakiety. Plik pcap zapisywany jest na zewnętrznej pamięci flash. Po demontażu urządzenia możemy go poddać analizie np. w Wiresharku. Możliwe jest więc podsłuchiwanie ruchu sieciowego bez konieczności wpinania się do sieci własnym komputerem.
Payload 2: dnsspoof
Ustawienie przełącznika w pozycji 2. umożliwia przeprowadzenie ataku typu dnsspoof. W tym przypadku urządzenie pracować będzie w trybie NAT przekierowując wszystkie zapytania kierowane na port 53 UDP serwera DNS do lokalnego portu 53. W katalogu /root/payloads/switch2/ znajduje się plik o nazwie „spoofhost”, w którym definiujemy jakie nazwy domen chcemy przekierować na jakie adresy IP. Schemat pliku jest następujący:
address=/nazwa_domeny/adres_ip
Chcąc natomiast przekierować wszystkie zapytania do kontrolowanego przez nas serwera www możemy posłużyć się następującym zapisem:
address=/#/172.16.32.1
W powyższym przykładzie wszystkie nazwy domen rozwiązywane będą na adres 172.16.32.1 (domyślny adres Packet Suirrel). Jeśli chcemy aby pod tym adresem otwierała się w przeglądarce jakąś strona (np. fałszywy captive portal) możemy w skrypcie payloadu (/root/payloads/switch2/payload.sh) dodać polecenie:
python -m SimpleHTTPServer 80
Uruchomi ono prosty serwer www serwujący pliki z lokalizacji /root/payloads/switch2. Musimy więc zadbać o to, aby tam właśnie umieścić naszą fałszywą stronę. W innym wypadku przeglądarka wyświetli użytkownikowi pliki payload.sh oraz spofhost, które znajdują się w tym katalogu.
A jak można wykorzystać ataki typu dnsspoof prezentowałem w poniższym nagraniu (mniej więcej od 44:40):
Payload 3: OpenVPN tunnel
Przełącznik w pozycji 3. daje nam najciekawszą moim zdaniem opcję payloadu. Ustawia on urządzenie w trybie bridge i nawiązuje połączenie z zewnętrznym serwerem OpenVPN zestawiając tunel, przez który możemy połączyć się do infiltrowanej sieci. Uruchamia też serwer SSH, do którego możemy się połączyć poprzez zestawiony tunel. Zewnętrzny serwer OpenVPN musimy sobie oczywiście najpierw przygotować (np. wg instrukcji: OpenVPN w 5 minut). Plik konfiguracyjny dla klienta vpn wgrywamy natomiast do katalogu: /root/payloads/switch3/config.ovpn.
W chwili obecnej urządzenie w oficjalnym sklepie Hak5 jest wyprzedane. Gdy nabywałem je kilka lat temu, koszt zakupu wynosił w okolicach 100$ + przesyłka ze stanów i cło. Aktualnie na aliexpress można znaleźć urządzenia sprzedawane pod tą samą nazwą ale nie potrafię stwierdzić na ile jest to produkt zgodny z oryginalnym więc nie będę linkował.
Jeśli ten artykuł Ci się podobał, zobacz też inne z serii Aresnał (Ethical) Hackera, a najlepiej zapisz się na newsletter poniżej aby otrzymywać powiadomienia o nowych tekstach.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.