È possibile recuperare le credenziali SSH v2 in uno schema di autenticazione username / password?

3

Al momento sto analizzando una rete compromessa (l'accesso root è stato acquisito su una workstation e i registri mostrano che è stato utilizzato per la scansione delle porte e brute di servizi che forzano gli attacchi sulle stazioni rimanenti nella sottorete) e mi chiedo quale sia il attacco più efficace che può essere lanciato a questo punto?

Lo sniffing dei pacchetti consente un facile recupero delle credenziali nel caso di protocolli di testo normale, ma è altrimenti meno efficace contro le loro controparti crittografate.

Il forzante bruto è inefficace dato che viene utilizzata una politica di credenziali sicura.

A questo punto penso che l'attacco con il massimo impatto consista nel recupero delle credenziali attraverso l'uso di avvelenamento da arp su servizi come SSH. Ho trovato una suite di strumenti che consentirebbe a un utente malintenzionato di recuperare i valori di nome utente e password per SSH v1

qui

Gli strumenti presentati sono, tuttavia, arcaici e richiedono numerosi aggiustamenti per compilare la maggior parte delle distro moderne.

Esiste un equivalente per SSH v2? Quali sono i mezzi più idonei di prevenzione / rilevamento?

    
posta Sebi 13.10.2014 - 13:42
fonte

1 risposta

2

Sì, le credenziali della password possono ancora essere rubate tramite un metodo man-in-the-middle con SSHv2.

Il profilo della vittima dipenderà dal tipo di metodo man-in-the-middle utilizzato. Per il tuo esempio di avvelenamento da arp da una workstation client, l'avvelenamento da arp garantirebbe in pratica la massima mediazione tra i client sulla rete locale vicina o tutti i client se il server si trova su una rete locale nelle vicinanze.

Altri metodi medi, come l'avvelenamento del DNS, potrebbero aumentare l'ambito della vittima.

La maggior parte dei client SSH ricorderà la chiave pubblica di un server SSH a cui si sono precedentemente collegati. Pertanto, gli utenti regolari verrebbero probabilmente avvisati di un errore o di un avvertimento quando tentano di connettersi tramite un mitm.

L'utilizzo dell'autenticazione con chiave privata è un modo per evitare di rivelare le credenziali segrete, anche se la connessione è media.

Ecco una descrizione dello strumento della storia di esempio. link

    
risposta data 09.12.2014 - 01:26
fonte

Leggi altre domande sui tag