Инжектирование в браузеры методом проксирования траффика.

[nullptr]

Всем привет. Думаю, многие читали технические обзоры таких ботов, как: "Axe", "Тихая ночь", "IcedID". Если с реализацией методом сплайсинга функций, отвечающий за прием/отправку данных все понятно, то тут - не совсем. Суть вот, в чём: все они хукают в контексте браузера отправку иоктл запросов драйверу afd.sys, перегоняя траффик, идущий по портам 443 и 80 ( https/http ) на локальный прокси и хукают проверку подлинности сертификатов. Вопрос заключается в том, как происходит декрипт зашифрованного ssl траффика. Возможно, туплю, потому что очень сонный, не обессудьте.

 

[visor]

Похукав проверку подлинности сертификатов ты можешь генерировать на стороне mitm прокси свои серты и отдавать их браузеру. Логика такая: браузер <-> (твой серт) mitm (серт сайта) <-> сайт.

 

[Apocalypse]

все они хукают в контексте браузера отправку иоктл запросов драйверу

Нет

 

[nullptr]

Похукав проверку подлинности сертификатов ты можешь генерировать на стороне mitm прокси свои серты и отдавать их браузеру. Логика такая: браузер <-> (твой серт) mitm (серт сайта) <-> сайт.

Т.е, если я подменю серт - на прокси будет падать уже расшифрованный траф?

 

[nullptr]

Нет

"Тихая ночь":
•
ntdll.dll45778;NtCreateUserProcess->1adecf[180000+2decfunnamed):1];545858;
NtDeviceIoControlFile->1ae0cb[180000+2e0cbunnamed):1];5

 

[dyadka0220]

в самом концепте прокси не нужен, достаточно на стороне длл или шк хранить всё что нужно.
Используй dll и openssl, облегчит жизнь

Не подскажешь кукаю именно функцию нужно хукать? Хочу потестить концепт

 

[nullptr]

в самом концепте прокси не нужен, достаточно на стороне длл или шк хранить всё что нужно.
Используй dll и openssl, облегчит жизнь

Не подскажешь кукаю именно функцию нужно хукать? Хочу потестить концепт

Всмысле? Прокси нужен в любом случае будет, ты что-то путаешь.
Держи: https://resources.malwarebytes.com/files/2020/05/The-Silent-Night-Zloader-Zbot_Final.pdf

 

[visor]

Т.е, если я подменю серт - на прокси будет падать уже расшифрованный траф?

Прокси выступает в качестве вебсервера для браузера. Когда браузер коннектится к твоей проксе происходит рукопожатие с твоим сертификатом. Поэтому весь исходящий траф браузера ты видишь клиртекстом. Далее тупо проксируется запрос до места назначения, где происходит такое же рукопожатие, но уже с использованием сертификата конечного вебсервера.

 

[nullptr]

в самом концепте прокси не нужен, достаточно на стороне длл или шк хранить всё что нужно.
Используй dll и openssl, облегчит жизнь

Не подскажешь кукаю именно функцию нужно хукать? Хочу потестить концепт

Перечитал еще раз, что-то заинтересовало. Причем тут шеллкод вообще, что ты собрался там хранить и причем тут длл и опенссл?

 

[dyadka0220]

Перечитал еще раз, что-то заинтересовало. Причем тут шеллкод вообще, что ты собрался там хранить и причем тут длл и опенссл?

длл и шк это то что ты хочешь инжектить в браузер

openssl можно использовать для создания сертов

 

[nullptr]

длл и шк это то что ты хочешь инжектить в браузер

openssl можно использовать для создания сертов

Нет. Тут прикол именно в системном хранилище и апи. Если бы нужны были опенссл серты - метод бы не отличался ничем от банального сплайсинга read&write.

 

[nullptr]

Хотя, кстати, я думаю, что браузеры в скором времени откажутся от апи предоставляемого системой в пользу своих сертов.

 

[darkdevel]

Firefox пользуется своей базой сертификатов cert9.db. С точки зрения mitm это даже проще, в профиль браузера можно внести изменения с правами пользователя.