Quartz 4

Rilevare SSL Stripping

2 min read

tags: Rilevare_SSL_Stripping SSL_Stripping_Detection Difesa

Indicatori di rimozione SSL Stripping

  • Richiesta iniziale vs. Risposta: la richiesta iniziale dell’utente potrebbe essere HTTPS (porta 443), ma i pacchetti successivi vengono immediatamente trasferiti a HTTP non crittografato (porta 80) per lo stesso dominio.

  • Reindirizzamenti/Riscrittura dei link: monitoraggio dei reindirizzamenti (codici di stato HTTP 301, 302) che indirizzano in modo persistente una richiesta HTTPS a una risorsa HTTP.

  • Errori di certificato: sebbene l’aggressore di solito cerchi di nasconderlo, l’handshake TLS/SSL iniziale potrebbe non riuscire o visualizzare un certificato autofirmato se l’aggressore utilizza una tecnica di proxy più diretta.

Wireshark

Per questa attività, HTTPS è il protocollo di interesse. Iniziamo isolandolo utilizzando il seguente filtro. Questo ci consentirà di ispezionare le richieste SSL e rilevare volumi o pattern anomali, questo filtro mostrerà tutto il traffico associato a SSL.:

tls || ssl

Applichiamo il seguente filtro per mostrare gli handshake TLS stabiliti sul nostro server, il che dimostra che il sito utilizza normalmente TLS per la comunicazione:

tls.handshake.type == 1 && tls.handshake.extensions_server_name == "dominio.thm.com"

La nostra ipotesi sullo stripping SSL è che venga eseguito dopo che l’aggressore ha eseguito con successo lo spoofing DNS, inviando la vittima all’IP dell’aggressore. Nell’attività precedente, abbiamo identificato l’indirizzo IP dell’aggressore eseguendo lo spoofing DNS. Isoliamo le risposte DNS dell’aggressore per mostrare che la vittima è stata indirizzata all’IP dell’aggressore, come mostrato di seguito:

dns.flags.response == 1 && ip.src == 192.168.10.55 && dns.qry.name == "dominio.thm.com"

Uno dei principali indicatori di SSL stripping è che, dopo lo spoofing, il dominio non esegue più handshake TLS con il server legittimo, il che convalida l’assenza di traffico TLS dalla vittima al server reale. Applichiamo il seguente filtro all’IP del server e all’IP dell’attaccante, come mostrato di seguito:

http && ip.src == 192.168.10.10 && ip.dst == 192.168.10.55

Graph View