Usando vários IP's da rede TOR para mascarar o IP real
O TOR é bastante conhecido por hackers e usuários avançados da web. Seu uso mais "comum" é através do navegador TOR, mas para usuários Linux, por exemplo, a ferramenta pode ser executada pela linha de comando e usa SOCKSv5 como proxy para roteamento no navegador. O site oficial pode ser acessado neste link AQUI
A rede TOR oferece hoje milhões de servidores voluntários ao redor do mundo, e seu principal propósito é a assegurar uma conexão anônima para seus usuários, impedindo o rastreamento da identidade e localização, tornando difícil rastrear a origem dos dados.
Neste artigo, eu vou descrever como instalar o TOR no Linux e usar o script connTOR.py para trocar o IP da conexão a cada 30 minutos. Essa alternativa tem como objetivo evitar o bloqueio da conexão durante um pentest. Simulações de ataques de "brute-force", "password spray" e "rate-limit" podem ocasionar o bloqueio do IP de origem por ferramentas como WAF (Web Application Firewall), e o connTOR.py é uma proposta para evitar bloqueios.
Instalação no Ubuntu
Antes de instalar é necessário habilitar o repositório do TOR no sources.list. Um outro pré requisito é a CPU, onde somente as arquiteturas amd64, arm64 e i386 são aceitas. Verifique com o comando:
dpkg --print-architecture
Instale o apt-transport-https para gerenciar pacotes usando https
apt install apt-transport-https
Verifique a sua distribuição usando o comando: lsb_release -c e substitua na configuração do tor.list
Crie um novo arquivo no diretório /etc/apt/sources.list.d/ chamado tor.list e adicione a seguinte configuração:
deb [signed-by=/usr/share/keyrings/deb.torproject.org-keyring.gpg] https://deb.torproject.org/torproject.org <DISTRIBUTION> main
deb-src [signed-by=/usr/share/keyrings/deb.torproject.org-keyring.gpg] https://deb.torproject.org/torproject.org <DISTRIBUTION> main
Adicione a GPG Key para assinar os pacotes
wget -qO- https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --dearmor | tee /usr/share/keyrings/deb.torproject.org-keyring.gpg >/dev/null
Instale o TOR
apt update
apt install tor
Todos os detalhes dessa instalação estão disponíveis nesse link AQUI
Depois que o TOR já estiver instalado no Linux, podemos inicia-lo e, em seguida, configurar no navegador o SOCKS v5 na porta 9051 para que sua navegação fique anonima.
No entanto, em cenários de teste, o IP de origem pode ser bloqueado caso o alvo identifique uma grande quantidade de requisições partindo de um mesmo IP. Neste caso, criei uma solução simples para contornar os bloqueios de WAF em teste de intrusão, como descrevi no github:
"A proposta da ferramenta não é ser uma solução definitiva para bloqueios durante um pentest, mas uma alternativa automática para trocar o IP da conexão e, em alguns cenários, evitar o bloqueio por ferramentas como firewall de aplicação (WAF). O uso da ferramenta para simulação de "brute-force" requer também a configuração de tempo e quantidade de requisição na simulação desse ataque e de outros que fazem o envio de grande quantidade de requisição. O ajuste se faz necessário devido ao método usado pela ferramenta para trocar o IP, ou seja, na troca do IP, a conexão é interrompida e restabelecida em seguida e, portanto, o "brute-force" deve ter uma configuração com os mesmos 30 minutos da ferramenta."
Para fazer a troca do IP a cada 30 minutos, o serviço TOR é reiniciado, o que interrompe por alguns segundos a conexão. Portanto, é necessário refinar o "ataque" de modo que ele não seja impactado.
Na imagem abaixo, podemos ver um exemplo da ferramenta em execução e 3 IPs em países diferentes foram disponibilizados a cada troca.
Um detalhe importante é a configuração das localidades no arquivo torrc (etc/tor/torrc), onde adicionei o parâmetro ExitNodes com os TLDs dos países.
Configuração dos países no arquivo torrc
A ferramenta connTOR está disponível no github neste link AQUI
#hackingBR
Comentários
Postar um comentário