PDF de programación - MITM, DNS Spoofing y Set

MITM, DNS Spoofing

y Set



Eduardo Arriols Nuñez





En este documento vamos a hablar sobre los ataques MiTM (Man in The Middle), que

son y una de las formas más básicas de realizarlos. También veremos cómo podríamos

crear una web falsa, haciendo una copia exacta de otra web con la herramienta SET

(Social Engineer Toolkit) y además veremos cómo es posible redireccionar a las víctimas

del MiTM o a las víctimas que se hayan conectado a nuestro Fake AP a la web falsa que

hemos creado en vez de a la pagina real.

Entrando en materia, lo primero que vamos a hacer es definir que es un MiTM o un

ataque de hombre en el medio. Es un ataque bastante común en el que el atacante es

capaz de interceptar una comunicación entre dos maquinas sin que ninguna de ellas

conozca lo que está ocurriendo, esto va a permitir al atacante leer, inyectar o modificar

cualquier tipo de información que sea transmitida entre ambas maquinas.

Es decir, el atacante estará en medio de la comunicación, por lo que cuando la víctima

envíe un paquete al servidor realmente lo estará enviando al atacante, y será este el que

se encargue de hacerle llegar el paquete al servidor como si fuera la víctima. Ocurrirá lo

mismo cuando el servidor mande paquetes a la víctima, que antes de llegar a la victima

pasaran por el atacante.



Antes de ver un ejemplo práctico vamos a ver un poco la teoría de como se produce este

tipo de ataques. Lo primero que tenemos que hacer para poder recibir los paquetes tanto

de la víctima como del servidor es realizar un ataque ARP Spoofing (necesario

únicamente en redes switcheadas y no con hubs ya que en este caso todas las

comunicaciones ya llegan a todos los host). Este ataque se basa en rellenar las tablas



ARP tanto de la víctima como del servidor engañándoles para que crean que nosotros (el

atacante) es la maquina hacia la que quieren comunicarse.

Vamos a ver un ejemplo:

Supongamos que nuestra MAC es 00:11:22:33:44:55

La tabla ARP de la victima (IP 192.168.1.2) antes del ataque seria…

Dirección IP 192.168.1.1 (Router) –> MAC: FA:54:DE:2C:37:99

La tabla ARP de la victima 2 (IP 192.168.1.1) que en este caso sería el router para poder

interceptar las comunicaciones en una LAN, antes del ataque seria…

Dirección IP 192.168.1.2 (Victima 1) –> MAC: 3F:54:E2:CA:21:D3



Una vez ejecutado el ataque, las tablas ARP de las victimas serian las siguientes:

La tabla ARP de la victima (IP 192.168.1.2) seria…

Dirección IP 192.168.1.1 (Router) –> MAC: 00:11:22:33:44:55

La tabla ARP de la victima 2 (IP 192.168.1.1) seria…

Dirección IP 192.168.1.2 (Victima 1) –> MAC: 00:11:22:33:44:55



Como vemos ahora las maquinas victimas no enviaran los paquetes a nosotros, y ahora

tendremos que redirigir esos paquetes para sus respectivos destinos, pudiendo

modificar, leer o inyectar cualquier información que deseemos en la comunicación. Para

que este ataque sea efectivo tendremos que estar mandando paquetes ARP maliciosos

a ambas maquinas de forma continua para evitar que refresquen su tabla ARP con los

valores correctos. Este tipo de ataques se puede hacer con infinidad de herramientas

como CAIN, Ettercap, etc.…

Ahora vamos a ver cómo podríamos realizar este ataque en un entorno real.

Lo primero que tenemos que hacer es abrir una consola e introducir:

echo 1 > /proc/sys/net/ipv4/ip_forward (para activar el reenvió de paquetes).

Después introducimos:



iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT

–to-port 10000 (regla de IPTABLES para que se lleve a cabo la dirección).



Ahora vamos a realizar el ataque ARP Spoofing. Este lo podemos realizar a toda la red,

de forma que todo pase por nosotros o podemos hacerlo únicamente entre dos

maquinas. Las formas de hacerlo serian las siguientes:

A toda la red:

arpspoof -i INTERFAZ_RED IP_ROUTER

Únicamente entre dos maquinas:

arpspoof -i INTERFAZ_RED -t IP_VICTIMA1 IP_VICTIMA2″ y ”arpspoof -i

INTERFAZ_RED -t IP_VICTIMA2 IP_VICTIMA1

(En dos ventanas distintas para realizar el ataque en ambas maquinas)

En nuestro caso práctico seria:

arpspoof -i wlan0 -t 192.168.1.1 192.168.1.10″ y “arpspoof -i

wlan0 -t 192.168.1.10 192.168.1.1



Como vemos en la imagen hemos seguido todos los pasos, por lo que ahora mismo

estaríamos en medio de la conexión entre el router y el equipo víctima. Como vemos a

continuación en el equipo victima hemos conseguido cambiar en la tabla ARP la

dirección MAC del router, haciendo que sea la nuestra.







Ahora si quisiéramos ver todo el trafico de la maquina victima que únicamente

necesitaríamos abrir algún analizador de paquetes como wireshark y lo veríamos todo,

como por ejemplo las claves en claro que introdujera la víctima en alguna web (bajo

HTTP, aunque más adelante veremos cómo hacer lo mismo para HTTPS). En el

próximos post hablaremos de cómo realizar un ataque DNS Poisoning además de ver

cómo crear una web falsa mediante la herramienta SET.



Ahora vamos a ver como podríamos con la situación anterior redirigir a las víctimas a

una página falsa creada por nosotros, con el fin normalmente de obtener credenciales de

acceso a alguna web o crear una web que además se dedique a lanzar exploits contra el

navegador de la victima intentando explotar alguna vulnerabilidad y tener acceso a su

PC. En este post vamos a tratar la primera opción, pero en el siguiente post

abordaremos la segunda



Para empezar lo primero que deberíamos hacer sería crear una web falsa o una copia de

la web de la que queremos obtener los credenciales de la víctima. Para ello tenemos

varias opciones pero en mi opinión la mejor es la herramienta SET (En siguientes post

nos meteremos más a fondo con esta herramienta ya que tiene de todo), así que vamos

al lío...

Debemos abrir la herramienta y nos aparece el siguiente menú donde deberemos pulsar

la opción que aparece en la imagen, en este caso la 1º para realizar ataques de

ingeniería social…



Después nos aparece la siguiente imagen donde debemos seleccionar la 2º para realizar

ataques web…



A continuación se nos da a elegir entre una serie de vectores de ataque a nivel web, del

que en este caso tenemos que seleccionar el 3º ya que vamos a realizar un robo de

credenciales…



Ahora nos pide que seleccionemos de que forma vamos a realizar el phishing, y en este

caso seleccionaremos la 2º opción para realizar una copia de un sitio web…



Ahora llegamos a la parte donde nos pide ciertos datos, concretamente nos va a pedir la

dirección IP que alojara la web, en este caso será mi PC con la IP 192.168.1.17 como se

puede ver en la imagen…



Y para terminar nos pide lógicamente cual es la web que queremos “copiar”, en este

caso yo voy a hacer una copia de twitter.com…



Una vez hemos seguido los pasos nos monta la web en el puerto 80 como podemos

observar a continuación…

Una buena forma de comprobar que todo ha salido bien es realizar una conexión desde

nuestro navegador a localhost o 127.0.0.1…



En este caso como vemos la ha creado perfectamente, y además como podemos ver

abajo a la izquierda la herramienta SET nos indica desde donde se ha realizado la

petición, que recurso a pedido, fecha, etc.…

Bueno, llegados a este punto ya tenemos nuestra web falsa o nuestro phishing listo,

ahora debemos realizar el MiTM visto en el post anterior. Como las condiciones en las

que están montados los equipos son un poco distintas vamos a ver de nuevo como lo

haríamos. La configuración de ambas maquinas es la siguiente…



En este caso tengo mi PC con Backtrack y un Windows XP en una maquina virtual

conectada mediante NAT, por lo que vamos a realizar un ataque MiTM al Win XP

(Aunque se podría hacer de otras formas ya que soy yo su “router” o gateway, de todas

formas vamos a verlo para demostrar como se haría en otros casos). Los pasos a seguir

para poder realizar el MiTM serian los que podemos observar en la siguiente imagen…



Una vez realizados esos pasos ya estaríamos de MiTM. Vamos ahora que es y como

podemos realizar un ataque de DNS Spoofing.

Para empezar un ataque DNS Spoofing se basa en que dada una situación de MiTM

donde todas las comunicaciones pasan por nosotros, estar a la escucha de todas y cada

una de las peticiones DNS que realice una o más maquinas con el fin de que cuando

esas maquinas que están siendo monitorizadas por el MiTM hagan una petición a una

cierta web, el atacante capture esa petición y en vez de mandarla al DNS verdadero sea

él, el que responda a la petición, suplantando la identidad del DNS y ofreciendo una

respuesta falsa a dicha petición.

Con esto logramos que si nosotros queremos suplantar la web de Titear, cuando alguien

pregunte por Twitter (Mande una petición DNS para conocer la IP del servidor de Twitter)

seamos nosotros los que respondamos y en vez de mandar a la víctima al servidor

legítimo lo mandaremos al servidor que hemos montado nosotros para realizar el

phishing.

Para realizar este ataque tenemos la herramienta dnsspoof, la cual necesita como

parámetro de entrada un fichero donde se encuentran las web de las que queremos

capturar la petición DNS y servir una respuesta falsa. Un ejemplo de este fichero seria

como se muestra a continuación…



Con este archivo le estaríamos diciendo que todo aquel que esté bajo el MiTM y

pregunte por Facebook sea redirigido a la IP 192.168.1.17 en vez de al servidor real.

Ahora para poder ejecutar el ataque DNS Spoofing deberíamos introducir el siguiente

comando…

dnsspoof -i INTERFAZ_DE_RED_UTILIZADA -f FICHERO_HOSTS



En mi caso el comando será un poco distinto ya que al estar haciendo NAT a la maquina

victim