NetRipper: Ferramenta para Interceptação de Tráfego de Rede

NetRipper é uma ferramenta "post exploitation" que atua na segmentação de sistemas Windows e que utiliza um hooking API, a fim de interceptar o tráfego de rede e de funções de encriptação que estejam relacionadas a partir de um usuário com poucos privilégios. A ferramenta é capaz de capturar o tráfego de texto simples e o tráfego criptografado antes do processo de criptografia e depois da decriptografia. As atividades "post exploitation" em um teste de penetração, podem ser um desafio se o testador tiver poucos privilégios em uma máquina bem configurada e que esteja executando o sistema Windows. Este trabalho apresenta uma técnica que tem a intenção de ajudar o pentester a encontrar informações úteis através de um sniffer de tráfego de rede dos aplicativos na máquina comprometida, apesar de seus privilégios não serem grandes.


Além disso, o tráfego criptografado também é capturado antes de ser enviado para a camada de criptografia. Assim, todo o tráfego (de texto simples e encriptado) pode passar por um "sniffed". Ressaltando que a aplicação desta técnica é uma ferramenta chamada NetRipper, que utiliza um hooking API para fazer as ações acima mencionadas e que foi especialmente desenvolvida para ser utilizada em testes de penetração. Porém, o conceito também pode ser utilizado para monitorar o tráfego da rede de uma empresa ou para analisar uma aplicativo malicioso.


Saiba Mais:

[1] Github https://github.com/NytroRST/NetRipper