Ретрансляция трафика сайтов Чернигова с помощью Netcat
15.10.2019Ретрансляция трафика сайтов Чернигова - другая мощная методика атаки, которая реализуется при помощи Netcat. Атакующий может сконфигурировать клиентов и слушателей Netcat таким образом, чтобы провести атаку отскоком среди группы машин, управляемых атакующим. Соединение атакующего перемещается от ретранслятора к ретранслятору.
Рассмотрим пример ретрансляции. Атакующий управляет машинами, помеченными как «Ретранслятор А» и «Ретранслятор В» (они могут быть системами где-нибудь в Internet, захваченными хакером, который воспользовался неисправленными уязвимыми местами в защите). На каждой из машин-ретрансляторов атакующий устанавливает слушателя Netcat, чтобы перехватить трафик в сети. Сайты Чернигова сконфигурированы так, чтобы направлять свой вывод клиенту Netcat в той же самой системе. Этот клиент Netcat, в свою очередь, переправляет трафик по сети к следующей системе в данной цепи.
Я видел цепочки из 5, 10 или даже 15 ретрансляторов. Если системный администратор сайтов Чернигова расследует такую атаку, он должен проследить пакеты до ближайшего ретранслятора, откуда, видимо, исходит атака. Однако хакера в ретрансляторе нет, так что придется проследить атаку до предыдущего ретранслятора. И вновь атакующий не там - подобная ситуация чрезвычайно замедляет расследование по мере того, как детективы продвигаются от ретранслятора к ретранслятору.
Я читал разговоры в чате (IRC-сеансы) атакующих, обсуждавших наиболее тонкие моменты организации ретрансляций для того, чтобы запутать группы расследования. В этих обсуждениях более опытные атакующие учили молодых предусматривать серьезные языковые и политические переходы между ретрансляторами. Например, атакующий может атаковать, перескакивая от Соединенных Штатов на ретранслятор в Северной Корее, затем последовательно к системам во Франции, в Саудовской Аравии, в Израиле и обратно на машину жертвы в Соединенных Штатах. На каждом шаге такого пути детективы должны будут учитывать как языковые и культурные различия, так и юрисдикцию правоохранительных органов.
Кроме того, ретранслятор Netcat может использоваться для направления пакетов в обход правил фильтрации. В этом примере трафик сайтов Чернигова из внешней сети через пакетный фильтр во внутреннюю сеть запрещен. Пакетный фильтр разрешает трафик DNS (UDP-порт 53) из внешней сети в DMZ и трафик электронной почты (SMTP на ТСР-порте 25) от DMZ до внутренней части. Если атакующие занимают систему DMZ и внутреннюю машину, они в состоянии посылать данные вокруг пакетного фильтрующего устройства, установив ретранслятор Netcat на системе DMZ. Подобная методика часто используется для обхода пакетных фильтров.
