Che cosa significa "proxy di iniezione" in RCS di HackingTeam?

1

Mentre guardavo HT RCS Galileo Presentation mi sono imbattuto in un termine o concetto che non ho familiarità con esso : " proxy di iniezione ".

Qualcuno potrebbe spiegare questo tipo di attacco?

    
posta user134969 02.03.2017 - 04:33
fonte

1 risposta

7

Un proxy di iniezione è un'applicazione man-in-the-middle che monitora attivamente il traffico e inietta contenuti (dannosi) in base a regole predefinite.

Questo è approssimativamente lo scenario di attacco delineato nel video:

Sei un'entità governativa e accedi al traffico di un ISP che sai essere utilizzato da un sospetto criminale A. Desideri accedere al computer di A, ma hai solo il loro indirizzo e-mail. Quindi imposta una regola nell'interfaccia del tuo proxy di iniezione che inietta il malware (possibilmente trasmesso tramite un exploit del browser di 0 giorni) nel traffico gestito dall'ISP non appena l'indirizzo e-mail di A si verifica in una richiesta HTTP alla loro webmail fornitore. Cioè, non appena A accede alla loro webmail, il proxy di injection interviene e inietta contenuti dannosi nella risposta HTTP restituita che installa in modo invisibile una backdoor sul proprio computer. Questo ovviamente non funzionerà facilmente se A utilizza TLS durante la navigazione poiché non è possibile iniettare facilmente contenuti nel traffico HTTPS.

Un documento sui dettagli di "Injection Proxy Appliance" di HackingTeam può anche essere trovato su Wikileaks :

IPA (Injection proxy appliance) is a offensive security device developed by HT for performing remote installation of Remote Control System, by using man in the middle attack techniques and by using proprietary streamline injection mechanism.

    
risposta data 02.03.2017 - 05:07
fonte

Leggi altre domande sui tag