Voi siete qui:Funzioni del Tecnico > I Network Injector > Dati delle regole di injection

Dati delle regole di injection

Di seguito la descrizione dei dati che definiscono le regole di infezione disponibili:

Dato Descrizione

Abilitato

Se selezionato, la regola sarà inviata al Network Injector.

Se non selezionato, la regola viene salvata ma non inviata.

Disable on sync

Se selezionato, la regola viene disabilitata alla prima sincronizzazione dell'agent definito nella regola.

Se non selezionato, Network Injector continua ad applicare la regola, anche dopo la prima sincronizzazione.

Probability

Probabilità (in percentuale) di applicazione delle regole dopo la prima risorsa infettata.

0%: dopo aver infettato la prima risorsa, Network Injector non applica più questa regola.

100%: dopo aver infettato la prima risorsa, Network Injector continua ad applicare questa regola.

Suggerimento: se si applica un valore superiore al 50%, si consiglia di riportare il valore allo 0% dopo avere verificato l'avvenuta installazione (sincronizzazione avvenuta) oppure utilizzare l'opzione Disable on sync.

Target

Nome del target da infettare.

Ident

Metodo di identificazione delle connessioni HTTP del target.

NOTA: Network Injector non può monitorare connessioni FTP o HTTPS.

Di seguito la descrizione di ogni metodo:

Dato Descrizione
STATIC-IP

IP statico assegnato al target.

STATIC-RANGE

Range di indirizzi IP assegnati al target.

STATIC-MAC

Indirizzo MAC statico del target, sia Ethernet che WiFi.

DHCP

Indirizzo MAC dell'interfaccia di rete del target.

RADIUS-LOGIN

Nome utente RADIUS. User-Name (RADIUS 802.1x).

RADIUS-CALLID

Identificativo del chiamante RADIUS. Calling-Station-Id (RADIUS 802.1x).

RADIUS-SESSID

Identificativo sessione RADIUS. Acct-Session-Id (RADIUS 802.1x).

RADIUS-TECHKEY

Chiave RADIUS. NAS-IP-Address: Acct-Session-Id (RADIUS 802.1x).

STRING-CLIENT

Stringa di testo da individuare nel traffico dati proveniente dal target.

STRING-SERVER

Stringa di testo da individuare nel traffico dati destinato al target.

TACTICAL

Il target non viene identificato automaticamente, ma si demanda la sua identificazione all'intervento dell'operatore sul Tactical Network Injector. Quindi è solo quando l'operatore identifica il dispositivo, che il campo Ident viene "personalizzato" con i dati ricevuti dal dispositivo stesso.

User pattern

Metodo di identificazione del traffico del target. Il formato dipende dal tipo di Ident selezionato.

Metodo Formattazione

DHCP

STATIC-IP

STATIC-MAC

Indirizzo corrispondente (es.: "195.162.21.2").

STATIC-RANGE

Range di indirizzi separati da '-' (es.: "195.162.21.2-195.162.21.5".

STRING-CLIENT

STRING-SERVER

Stringa di testo (es.: "John@gmail.com").

RADIUS-CALLID

ID o parte dell'ID.

RADIUS-LOGIN

Nome o parte del nome dell'utente.

RADIUS-SESSID

ID o parte dell'ID.

RADIUS-TECHKEY

Chiave o parte della chiave (es.: "*.10.*").

TACTICAL

Non è possibile impostare un valore. Il valore corretto sarà definito dall’operatore sul campo.

Resourse pattern

Metodo di identificazione della risorsa da infettare, applicato all'URL della risorsa Web. Il formato dipende dal tipo di Action selezionata.

NOTA: lasciare vuoto se l'azione selezionata è INJECT-UPGRADE.

 

Tipo azione Contenuto di Pattern risorsa
INJECT-EXE

URL del file eseguibile da infettare. Utilizzare le wildcard per aumentare il numero di URL corrispondenti.

Esempi di formati possibili:

*<nomeExe>*.exe

www.mozilla.org/firefox/download/firefoxsetup.exe

NOTA: quando si specifica un path completo, fare attenzione agli eventuali mirror utilizzati dai siti web per lo scaricamento dei file (es.: "firefox.exe?mirror=it").

Suggerimento: digitare *.exe* per infettare tutti gli eseguibili, indipendentemente dalla URL.

IMPORTANTE: se si digita per esempio: *exe*, senza il carattere '.' dell'estensione del file, saranno infettate tutte le pagine che contengono accidentalmente le lettere "exe".

INJECT-HTML

URL della pagina web da infettare.

Esempi di formati possibili:

www.oracle.com/

www.oracle.com/index.html

NOTA: se non si specifica una pagina HTML o dinamica, includere nell'indirizzo del sito il carattere '/' finale (es.: "www.oracle.com/").

NOTA: non è possibile infettare una pagina di redirect. Verificare sul browser il path corretto del sito web prima di indicarlo nella regola.

INJECT-UPGRADE

Non utilizzato.

REPLACE

URL della risorsa da sostituire.

Action

Metodo di infezione che verrà applicato sulla risorsa indicata in Resource pattern:

Metodo Descrizione
INJECT-EXE

Infetta in tempo reale il file EXE scaricato. L'installazione dell'agent avviene nel momento in cui il target esegue il file EXE.

INJECT-HTML

Aggiunge un applet Java alla pagina Web. Quando il target apre la pagina, deve accettare l'esecuzione del codice Java per installare l'agent.

Suggerimento: per evitare i messaggi di avviso da parte del sistema del target, si consiglia di acquistare un certificato valido per firmare l'applet Java.

Richiede assistenza: contattare i tecnici HackingTeam per ulteriori dettagli.

INJECT-UPGRADE

Notifica il Java Runtime Environment sul dispositivo che un aggiornamento è disponibile. L'agent si installa nel momento in cui il target esegue l'aggiornamento. Non fa riferimento a Resource pattern.

REPLACE

Sostituisce la risorsa definita in Resource pattern con il file fornito.

Suggerimento: questo tipo di azione è molto efficace se usata in combinazione con i documenti generati da Exploit.

 

Agente

Per tutte le azioni tranne le REPLACE. Agent da iniettare nella risorsa Web selezionata.

File

Solo per Action REPLACE . File da sostituire a quello indicato in Pattern risorsa.

 

RCS8.2 | Manuale di installazione e uso | © COPYRIGHT 2012