Détection d'un bot MITM sans manipulation

Inscrit
4 Aout 2017
Messages
5
Reactions
0
#1
Hello !

Je réfléchi actuellement sur un bot MITM où le trafic serait donc :

1. Intercepté par un serveur local
2. Analysé
3. Renvoyé au serveur/client mais sans modifications

Un peu comment fonctionne le sniffer qui tourne sur le forum il me semble.

Savez-vous s'il existe un risque de ban pour ce genre de chose ? Sachant que je ne modifie pas du tout les paquets, je cherche simplement à les analyser pour en récupérer des informations statistiques.

Ce que je me demande également c'est s'il est possible pour Ankama de détecter le procédé de redirection réalisé à base d'outils comme No.Ankama.Dll/Detours ou EasyHook.

Sinon l'autre idée que j'ai mais un peu overkill, c'est d'avoir une VM Linux avec iptables et de dupliquer les paquets vers mon serveur local avec la fonction TEE ( https://www.it-connect.fr/port-mirroring-sous-linux-avec-iptables/ ). Overkill car ça nécessiterai une VM, mais aucune modification du client du coté des fichiers, tout comme en RAM...

Je sais que le risque zéro n'existe pas, mais je cherche des retours pour savoir si des personnes ont eu des comptes ban' dans ce type d'utilisations.

Merci !
 
Dernière édition:
Inscrit
25 Novembre 2015
Messages
169
Reactions
20
#2
" Un peu comment fonctionne le sniffer qui tourne sur le forum il me semble. "

Il me semble à moi que le sniffer partagé sur le forum filtre tout le protocol, deserialize et reserialize un message a la reception du serveur/client pour le renvoyer (ce qui est pas super ouf entre nous).

Effectivement la manière classique c'est de forward simplement les paquets d'un client vers l'autre depuis la passerelle MITM. Cependant tu devra quand même renvoyer un message avec des modifications si tu choisis cette façon de faire cela car l'IP du serveur de jeu est transmise dans un message (il faut donc le réécrire pour que le client du jeu se connecte a notre passerelle) et diffère selon le serveur sélectionné aussi.

Avec DrBrook on avais étudié la faisabilité d'un sniffer avec un autre moyen que celui-ci : habituellement, c'est la fonction native "connect" qui est hook mais il est possible également de hook les fonctions "recv" et "send" pour récupérer le traffic en lecture-seule (et via easy hook transmettre les données a notre injecteur via leur serveur IPC, il serait également possible d'implémenter un autre systeme de messaging style RabbitMq, d'envoyer des messages depuis le hook au jeu ou au serveur de jeu etc...). Par contre le client ne se connecte pas seulement au serveur d'authentification et de jeu, il y a le serveur qui gere le son il me semble et d'autre choses qui font appel à ces fonctions natives donc il faudrait aussi hook la fonction connect pour trier les host qui doivent être listen etc... On a pas pousser la recherche plus loin que ça mais sache que c'est possible de le faire (par contre il va falloir détecter la connexion au serveur de jeu etc...).

Là tu as un exemple d'une ébauche avec mon hook (qui va juste lire le auth xd) : https://pastebin.com/R0gNw9xX
Et l'output :



Pour les bans je pense que ça dépend de ce que tu fais en jeu, moi personnellement j'ai fais des tests sur pas mal de compte avec mes MITM boiteux et j'ai jamais eu de ban ou autre donc je pense que les anti-bot de base sont out en ce moment.
 
Haut Bas