пароль. Надеемся, наша атака останется незаметной и мы избежим блокировок. Чем больше пользователей обработаем, тем больше у нас шансов найти того, кто забыл изменить пароль.

Burp Suite Professional предоставляетопции для выполнения атаки с низкой и медленной скоростью. Их можно настроить на вкладке Options. Хотя бесплатная версия Burp Suite не допускает использование нескольких потоков или регулирование, OWASP ZAP применяет аналогичные типы атак с возможностью регулирования и увеличения количества потоков.

Загрузив список целевых пользователей и указав несколько паролей, можно приступать к делу, нажав кнопку Start attack (Начать атаку). На рисунке показано окно Intruder и все запросы, выполненные во время атаки методом распыления пароля.

Рис.4.8. Распыление пароля

За семью прокси-серверами

В наши дни более развитые компании довольно часто внедряют системы обнаружения и предотвращения вторжений и SIEM, которые предупреждают об опасности, если обнаружат правонарушение в отношении конкретного при- ложения.КогдаснеизвестногоIP-адресавыполняетсяслишкомбольшоечисло операций в отношении защищенного приложения за короткое время, системы обнаружения или предотвращения вторжений могутпринятьмеры против

глядеть так, как будто он поступает с выходного узла, а не с публичного IPадреса Алисы.

Более подробную информацию о Tor найдете на официальном сайте https://www.torproject.org.

Хотя Tor важен для анонимности, на самом деле мы не заинтересованы в том, чтобы оставаться полностью анонимными. Однако мы можем использовать случайно выбранные выходные узлыдля маскировки своего общедоступного IP-адреса при атаке на приложение.

Пакеты Torдоступны в большинстведистрибутивов Linux.В случае с Kali его можно установить с помощью менеджера пакетов. С помощью команды aptget, данной в приведенном ниже коде, мы установим Tor, а также полезное приложение под названием torsocks:

root@kali:~# apt-get install tor torsocks

Torsocks–отличная утилита,которая может«торифицировать» приложения и даже предоставлять интерактивную оболочку, автоматически направляющую весь трафик через активный туннель Tor. Это позволит заставить приложения, которые изначально не поддерживают маршрутизацию через Tor, использовать анонимную сеть.

Torsocks можно найти в репозитории Tor Project Git https:// gitweb.torproject.org/torsocks.git.

Не так много нужно изменить в конфигурации Tor по умолчанию. Можем просто запуститьего из командной строки Kali,используядвоичный файл tor, как показано ниже.

root@kali:~# tor [notice] Tor 0.3.1.9

[notice] Read configuration file "/etc/tor/torrc".

[notice] Opening Socks listener on 127.0.0.1:9050

[notice] Parsing GEOIP IPv4 file /usr/share/tor/geoip. [notice] Parsing GEOIP IPv6 file /usr/share/tor/geoip6.

[warn] You are running Tor as root. You don't need to, and you probably shouldn't.

[notice] Bootstrapped 0%: Starting

[notice] Starting with guard context "default"

[notice] Bootstrapped 80%: Connecting to the Tor network

[notice] Bootstrapped 85%: Finishing handshake with first hop

щает наш текущий общедоступный IP-адрес, ipinfo.io.

root@kali:~# curl ipinfo.io

{

"ip": "46.165.230.5",

"hostname": "tor-exit.dhalgren.org", "country": "DE"

}

root@kali:~# killall -HUP tor root@kali:~# curl ipinfo.io

{

"ip": "176.10.104.240",

"hostname": "tor1e1.digitale-gesellschaft.ch", "country": "CH"

}

root@kali:~# killall -HUP tor root@kali:~# curl ipinfo.io

{

"ip": "195.22.126.147",

"country": "PL"

}

root@kali:~# killall -HUP tor root@kali:~# curl ipinfo.io

{

"ip": "104.218.63.74",

"hostname": "tor-exit.salyut-4.vsif.ca", "country": "CA"

}

root@kali:~#

Каждый запрос к IP-сервису возвращал новый выходной узел Tor. Мы также можем грубо автоматизироватьотправку сигнала HUP с помощью команды watch на отдельном терминале. Опция -n указывает, как часто нужно выполнять команду killall.В этом случае Tor будет выдавать SIGHUP каждые 10 секунд, одновременно выполняя ротацию нашего внешнего IP-адреса.

root@kali:~# watch -n10 killall -HUP tor

Например, если планируем атаковать приложение c2.spider.ml, используя распыление пароля, то можно настроить модуль Intruder в Burp Suite на применение атаки типа «кассетная бомба» наряду со списком распространенных имен пользователей и паролей. Между тем в фоновом режиме команда watch обновляет канал Tor каждые 10 секунд.Мы будем регулировать количество за-

попытка угадать пароль станет приходить с другого IP-адреса. Тем самым повысится наша анонимность. Следует отметить, что бесплатная версия Burp не поддерживаетограничениечастотызапросов.Туже функциональностьможно реализоватьсиспользованиемOWASPZAP,когдакомандаwatch работаетвфоновом режиме, циклически ротируя канал Tor.

На рисунке показана команда watch, запускающая команду killall в приложении Tor каждые 10 секунд, в то время как модуль Intruder выполняет атаку с целью подбора пароля.

Рис.4.12. Запуск атаки,нацеленной на подбор пароля с постоянно меняющимся IP-адресом выходного узла

Какиожидалось,журналсервераприложенияc2.spider.ml показывает,что атака происходит каждые 10 секунд с нового IP-адреса выходного узла.

Ниже видим пример веб-сервера PHP, где перечислены все HTTP-запросы, указаны время и исходный IP-адрес.

root@spider-c2-1:/var/www# php -S 0.0.0.0:80 Listening on http://0.0.0.0:80

Press Ctrl-C to quit.

[20:21:23] 163.172.101.137:58806 [200]: /?user=root&password=123456

[20:21:33] 144.217.161.119:58910 [200]: /?user=info&password=123456

[20:21:53] 216.218.222.14:16630 [200]: /?user=test&password=123456 [20:22:08] 185.220.101.29:44148 [200]: /?user=admin&password=123456

[...] [20:24:52] 89.234.157.254:42775 [200]:

/?user=test&password=123456789 [20:25:03] 87.118.122.30:42856 [200]: /?user=admin&password=123456789

Неинтенсивный и медленный характер атаки в сочетании с постоянно меняющимся исходным IP-адресом не позволяет средствам защиты отличить трафик атаки от легитимного трафика. Не исключено, что можно разработать эффективные правила, которые обнаружат атаки методом полного перебора, исходящие от множества IP-адресов во многих регионах, но сделать это без ложных срабатываний довольно сложно.

При осуществлении атак через сеть Tor возникает ряд проблем. Протокол маршрутизации действует медленнее,чем прямое соединение,так как Tor добавляетнесколькоуровнейшифрованияккаждойпередаче,икаждаяпередача пересылается через три узла Tor поверх обычной маршрутизации, необходи- мойдляинтернет-связи.Такойпроцессулучшаетанонимность,одновременно с этим значительно увеличивая задержку связи. Задержка заметна при обычном просмотре веб-страниц, но это приемлемо. При масштабном сканировании такой вариант вряд ли можно считать идеальным.

Также следует отметить, что Tor активно используется в тех регионах, где конфиденциальность данных имеет первостепенное значение. Проводить крупномасштабные атаки с помощью Tor не рекомендуется, так как это приведет к ненужному замедлению работы сети и затронет легитимных пользователей.Низкие и медленные атаки не должны вызывать проблем. В случае с некоторыми заданиями, которые выполняет Красная команда, может даже потребоваться тестирование из сети Tor, чтобы убедиться, что соответствующие правила систем обнаружения и предотвращения вторжений работают должным образом, но следует проявлять осторожность при проведении атак через общедоступную среду с ограниченными ресурсами.

Другая проблема состоит в том, что выходные узлы являются публичными. Межсетевые экраны, СОВ, СПВ и даже элементы управления на базе хоста могут быть настроены для прямой блокировки любого соединения с известными узлами Tor. Хотя с Tor работают легитимные пользователи, он также имеет долгую историю использования для незаконных целей. Риск вызвать раздра-