Eu tentei PolarProxy para descriptografar o tráfego de malware e encaminhar o tráfego para um servidor falso. Eu estava seguindo o tutorial PolarProxy + INetSim. Eu estava usando PolarProxy em uma VM Ubuntu e o aplicativo com TLS em uma VM Windows. https://www.netresec.com/?page=Blog&month=2019-12&post=Installing-a-Fake-Internet-with-INetSim-and-PolarProxy
No tutorial, para a VM que tem PolarProxy, eu uso o seguinte comando:
$ sudo iptables -t nat -A PREROUTING -i <Ex. enp0s8> -p tcp --dport 443 -j REDIRECT --to 10443
$ sudo ./PolarProxy_1-0-0_linux-x64/PolarProxy -v -p 10443,80,80 -x polarproxy.cer --certhttp 10080 --pcapoverip 57012 -o . --terminate --connect <IP for Fakenet VM> --nosni nosni.polarproxy
Então, com comandos como os seguintes na máquina da vítima, o PolarProxy funciona corretamente descriptografando o tráfego e enviando-o para a VM fakenet.
$ curl.exe --insecure --resolve hello.com:443:<IP for PolarProxy VM> https://hello.com
No entanto, percebi que o PolarProxy descobre o servidor para redirecionar o tráfego inspecionando o campo SNI. Ele, portanto, fornece erros para os comandos como o seguinte, quando a máquina vítima se comunica diretamente com um IP sem especificar o nome do servidor:
$ curl.exe --insecure https://<IP for PolarProxy VM>
Erros de exemplo:
<4>[10443] Transparent TLS proxy System.IO.IOException (0x80131620) : Cannot determine the frame size or a corrupted frame was received.
<4>[10443] Transparent TLS proxy Socket error code HostNotFound System.Net.Internals.SocketExceptionFactory+ExtendedSocketException (0x00000005) : Name or service not known
Então, eu me pergunto se há ferramentas/maneiras de contornar esse problema para aplicativos que não usam DNS/nome do servidor e se comunicam diretamente usando um IP especificado? Estou me perguntando se há maneiras de deixar o PolarProxy encaminhar todo o tráfego descriptografado e corrigido para um IP especificado.
Não sei se preciso de ferramentas que possam adicionar SNI ou algo assim. (Além disso, para máquinas vítimas do Windows no VMware, modificar diretamente o gateway padrão para a VM PolarProxy causa alguns problemas de rede, então isso não parece ser uma solução para mim.)
Obrigado!