Hračky na hackování: Hak5 Packet Squirrel

Když jsem kupoval Bash Bunny od Hak5, měl jsem štěstí, protože zrovna vydali i zařízení Packet Squirrel. Objednal jsem nám jej do firmy a dnes bych vám o něm rád napsal. Jelikož je to opět šikovné zařízení se zajímavou funkcionalitou, začnu rovnou tím, co se s tím dá dělat.

Co Packet Squirrel umí?

• HW VPN

Pokud jste běžný uživatel, tak pro vás udělá „HW“ VPN. Tzn. vše, co za Packet Squirrel zapojíte, bude tunelováno skrze VPN. Tudíž to bude nečitelné pro lokálního správce sítě a zároveň vám to může vzdáleně zpřístupnit vaši firemní sít. Samozřejmě většinou máte VPN připojenou přímo ze svého PC/NB – ale i tak se mohou najít případy, kdy se to může hodit (např. připojení více zařízení do VPN, nebo když připojené zařízení nesmí znát parametry VPN).

• Packet capture

Zařízení také umí dělat packet capture síťového provozu. Do sítě se připojí jako transparentní bridge a na připojený USB flash disk zapisuje veškerá data, která přes něj prochází (využívá se tcpdump, takže je možné traffic i filtrovat). Zařízení nemusí být vždy připojeno mezi PC a switch, ale můžete jej zapojit i mezi dva switche, nebo switch a router – tím uvidí více trafficu. Toto se hodí pro debugování síťového provozu, nebo odposlech sítě. Navíc v režimu „TRANSPARENT“ je na síti nedetekovatelné (tedy pokud je síť pouze 100 Mbps ☹).

• MITM

Další možností je provádět aktivní MITM, tzn. modifikovat data procházející přes zařízení. Zde je fantazie asi neomezená – DNS spoofing, ARP poisoning, rouge DHCP, proxying, SSL striping. U špatně zabezpečených služeb tak může dojít k úniku uživatelských údajů (RDP, telnet, ftp[s], pop, imap[s], http[s], potenciálně i SSH), nebo pozměnění přenášených dat (například pozměnění webových stránek, v horším případě pak úpravě/zavirování přenášených programů, což povede dále ke kompromitaci počítačů zapojených za Packet Squirrel). Zjištěná hesla může Packet Squirrel ukládat přímo na připojený USB flash disk, nebo posílat skrze internet ven (pokud se již neplánujete pro zařízení vrátit, nebo údaje chcete co nejdříve použít k dalšímu pohybu po síti).

• Backdoor

Jelikož je Packet Squirrel normální mikro počítač, je možné jej také vložit do sítě jako backdoor, skrze který budete po síti „šmejdit“ dále (Nmap, OpenVAS). Packet Squirrel se bude v síti tvářit jako běžné síťové zařízení, které si vytočí VPN k vám. Vy se pak skrze tuto VPN dostanete do sítě, kde je Packet Squirrel zapojený.

Co je Packet Squirrel?

Jedná se opět o mikro počítač (Atheros AR9331 SoC at 400 MHz MIPS, 64MB DDR2 RAM, 16MB internal storage, 5V@120mA). Obsahuje jeden USB host port, jedno micro USB pro napájení a 2x 100 Mbps etheret porty. Na rozdíl od Bash Bunny není určen pro útoky typu BadUSB, ale pro útoky MITM.

Protože se nezapojuje do USB, ale mezi dva síťové kabely, potřebuje separátní napájení. Bohužel PoE není podporováno, a tak je třeba zařízení napájet přes micro USB kabel (z externí baterie, počítače, tiskárny, routeru). Myslím, že slabší HW je zvolen právě kvůli dlouhému běhu zařízení z externí baterie. Na externí baterii (power banku) o kapacitě 10.000mAh by mělo být schopné běžet cca 3 dny.

Stejně jako Bash Bunny má na sobě Packet Squirrel programovatelnou RGB diodu pro signalizaci stavů (průběhu útoku), programovatelné tlačítko a čtyřpolohový přepínač (to je o jednu polohu více než umí Bash Bunny) pro výběr přednastavených útoků.

Bohužel velkou nevýhodou Packet Squirrelu je, že podporuje pouze 10/100 Mbps ethernet. Pokud jej zapojíte na 1 Gbps spoj, tak spojení degraduje na 100 Mbps.

Opět oficiální video od výrobce – 20 minut videa za tisíc slov 😊.

Postřehy z praxe

Bohužel stejně jako minule jsem zatím nenašel na hraní dostatek času. Avšak nějaké mé postřehy:

• Útoky si opět můžete psát sami. Jejich nahrávání je o trošku složitější, jelikož je nutné Packet Squirrel zapojit na síť a pak se do něj připojit přes SSH a SCP. Opět existuje jejich repositář na https://github.com/hak5/packetsquirrel-payloads, ale tentokrát je výrazně chudší, protože je zařízení nové.
• Packet Squirrel umí běžet v následujících síťových režimech. Transparentní bridge (pak není na síti vidět), bridge s interfacem (vše je v jedné síti), NAT s interfacem (zařízení za Packet Squirrel jsou schována za NATem).
• Zařízení bootuje déle než Bash Bunny a to cca 38 sekund. Na druhou stranu není určeno pro rychlé akce jako Bash Bunny, ale pro delší zapojení v prostředí (v řádu hodin), tak to snad tolik nevadí.

Kde Packet Squirrel pořídit?

Packet Squirrel jsem objednával společně s Bash Banny přímo z Ameriky, ale dost se mi to prodražilo. Říkal jsem si, že by nemusela být špatná varianta nějaké Raspberry-Pi s dodatečným USB-Ethernet adaptérem. Tím by se dalo dosáhnout vyššího výkonu a podpory 1 Gbps rozhraní. Co myslíte, máte nějaké zkušenosti?

Popravdě již delší dobu přemýšlím, připravit si Raspberry-Pi s Kali Linuxem a používat jej jako backdoor v síti při penetračním testování.

Mé plány na používání

Stejně jako Bash Bunny mám v plánu Packet Squirrel používat pro demonstrace zákazníkům, penetrační testování a školení kolegů. Dokážu si představit, že když Packet Squirrel zapojíte u PC (včetně napájení přes USB) nebo u switche/routeru s externí baterií a nalepíte na něj štítek s nápisem neodpojovat, tak se toho nikdo ani nedotkne 😉.

Myslím, že většina sítí je v rámci LAN mnohem zranitelnější než z internetu, a tak se hodí mít v cílové síti nějaký backdoor, přes který povedete útok při penetračním testování.

Závěr

Zajímavých zařízení pro „hraní“ je výrazně více. Narazil jsem třeba na tuto německou stránku https://www.heise.de/ct/ausgabe/2017-18-Bash-Bunny-3800517.html (ideální hodit do Google překladače).

Osobně doufám, že se mi podaří během tohoto roku najít více času na hraní a dát dohromady nějaké působivé „představení“ pro zákazníky 😊. O zjištěné poznatky bych se s vámi zase rád podělil.

Jaké jsou vaše zkušenosti? Máte nějaké podobné „hospodské triky“?

EDIT 23.4.2018: Napsal jsem k článku pokračování: Jak za pár sekund hacknout počítač aneb útok s Bash Bunny a Packet Squirrel