Blog

Tutorial: suplantación de identidad de DNS

Saludos a mis compañeros hackers.

Como habrás notado por mi falta de publicaciones, he estado ausente por un tiempo trabajando en un gran proyecto con un equipo (que no se terminará pronto), y también he estado armando un pequeño proyecto paralelo para Null-Byte que anunciaré pronto. Lo siento si me he quedado rezagado, estoy de vuelta ahora y finalmente estoy haciendo un tutorial. Sé que la suplantación de DNS ya ha sido cubierta aquí por OTW, pero siento que tengo que hacer mi propia opinión al respecto. Usaré Ettercap, así que eso es algo original, ¿verdad? Muy bien, empecemos.

¿Qué es la suplantación de DNS?

La suplantación de DNS (a veces denominada envenenamiento de caché de DNS) es un ataque mediante el cual un host sin autoridad dirige un servidor de nombres de dominio (DNS) y todas sus solicitudes. Esto básicamente significa que un atacante podría redirigir todas las solicitudes de DNS, y por lo tanto todo el tráfico, a su (o ella) máquina, manipulándola de manera maliciosa y posiblemente robando los datos que pasan. Este es uno de los ataques más peligrosos ya que es muy difícil de detectar, pero hoy te mostraré cómo realizarlo y cómo detectar si lo está realizando alguien más en tu red.

Paso 1: preparación

Comencemos por arrancar Kali Linux, ya sea una máquina virtual (VM), un arranque nativo o un arranque dual. Si aún no tiene Kali (que debería a estas alturas, dado que está en este sitio web), consígalo en el sitio web oficial.

Asegúrese de tener una conexión a Internet que funcione antes de continuar y asegúrese de estar en la misma red que su objetivo. Se trata de un ataque LAN (o WLAN), por lo que tanto el atacante como la víctima deben tener la misma puerta de enlace de red. Permítanme señalar de antemano que la víctima podría estar ejecutando cualquier sistema operativo, no importa.

Paso 2: configurar

Ahora necesitamos editar el archivo de configuración de Ettercap ya que es nuestra aplicación preferida por hoy. Naveguemos a /etc/ettercap/etter.conf y abra el archivo con un editor de texto como gedit y edite el archivo. Podemos usar Terminal para eso.

Así que ahora queremos editar el uid y gid valores en la parte superior para que digan 0, así que hazlo.

Ahora desplácese hacia abajo hasta que encuentre el título que dice Linux y debajo de eso, elimine los dos signos # debajo de donde dice “si usa iptables”.

Genial, hemos terminado con la configuración.

Paso 3: Ettercap

Ahora ejecutemos este programa abriendo Ettercap. Puede hacerlo de la manera más aburrida a través de Launchpad o de la manera más divertida usando Terminal. Te voy a enseñar de la manera genial. Adelante, abre Terminal y escribe:

Lo que queremos a continuación es seleccionar nuestra interfaz de rastreo. Hagamos zoom a través de los pasos muy rápido.

Primero seleccione Oler > Olfateo unificado… > (Seleccione la interfaz conectada a Internet)> OK

(Puede averiguar qué interfaz está conectada a Internet escribiendo Terminal ifconfig y ver qué interfaz le da una dirección IP).

Entonces hazlo rápidamente Comienzo > Deja de oler porque comienza a olfatear automáticamente después de presionar OK y no queremos eso.

Ahora queremos buscar objetivos en nuestra red y elegir uno. Para hacer esto, vaya a Hospedadores > Buscar hosts y espere hasta que haga el escaneo. Solo debería tomar unos segundos dependiendo del tamaño de su red (que supongo que no es muy grande).

Así que nos hemos ocupado del escaneo, pero ¿cómo vemos nuestros objetivos? Bueno, vuelve a Hospedadores y seleccione Lista de anfitriones para ver todos los objetivos que ha encontrado Ettercap.

Ahora lo que queremos hacer es agregar nuestra máquina víctima a Target 1 y nuestra puerta de enlace de red a Target 2, pero primero necesitamos saber sus dos direcciones IP. Para averiguar la dirección IP de nuestra víctima, primero necesitamos saber a quién atacamos, y podemos hacerlo usando nmap para encontrar la información que necesitamos en la máquina de destino. Una vez que esté seguro de quién es su víctima, seleccione su dirección IP de la lista de hosts en Ettercap y elija Agregar al objetivo 1. Ahora necesita encontrar la dirección IP de su puerta de enlace (su enrutador). Para hacer esto, abra Terminal y escriba ifconfig y mira donde dice Bcast: y eso le dirá la dirección IP de su puerta de enlace. Alternativamente, también puede utilizar el ruta -n mando. Ahora seleccione la IP de la puerta de enlace de la lista de hosts y elija Agregar al objetivo 2.

Paso 4: acción

Ahora que tenemos ambos Objetivos configurados para nuestra víctima y puerta de enlace, podemos proceder al ataque.

Ve a la MITM pestaña y seleccione Envenenamiento por ARP, escoger Olfatear conexiones remotas y presione OK. Ahora ve a Complementos > Administrar los complementos y haga doble clic dns_spoof para activar ese complemento.

Ahora necesitamos editar otro archivo en la carpeta Ettercap.

Esta etter.dns file es el archivo de hosts y es responsable de redirigir solicitudes de DNS específicas. Básicamente, si el objetivo entra facebook.com serán redirigidos al sitio web de Facebook, pero este archivo puede cambiar todo eso. Aquí es donde ocurre la magia, así que editámoslo.

Primero, sin embargo, permítanme explicar qué se puede y se debe hacer con el archivo hosts. Entonces, en un escenario de la vida real, un atacante usaría esta oportunidad para redirigir el tráfico a su propia máquina para rastrear datos. Esto se hace iniciando un servidor Apache en la máquina Kali y cambiando la página de inicio predeterminada a un clon de, digamos facebook.com o chase.com, de modo que cuando la víctima visite esos sitios web, después de ser redirigida a la máquina atacante verá los clones de los sitios antes mencionados. Esto probablemente engañará al usuario desprevenido para que ingrese sus credenciales donde realmente no debería. Basta de hablar, hagámoslo.

Primero, redirija el tráfico de cualquier sitio web que desee a su máquina Kali. Para eso, vaya a donde dice “microsoft apesta;)” y agregue otra línea como esa debajo, pero ahora use el sitio web que desee. Además, no olvide cambiar la dirección IP a tu Dirección IP.

Ahora necesitamos iniciar Apache para aceptar el tráfico entrante.

Vayamos a la carpeta de la página html predeterminada. Ahí es donde podemos tomar el control de lo que ve la víctima cuando es redirigida. La ubicacion es / var / www / html donde encontraras el index.html página. Puede modificar el documento según sus necesidades y, una vez que crea que ha engañado lo suficiente a su víctima, puede guardar la página y los cambios surtirán efecto al instante. Veamos aquí …

Lo último que queda por hacer aquí es iniciar el ataque. Vuelve a Ettercap y selecciona Comienzo > Empieza a oler y eso debería hacerlo.

Ahora, cada vez que la víctima visite la página web que indicó en el etter.dns archivo (en mi caso es facebook.com) serán redirigidos a la página elegante y discreta de arriba. Puede ver cómo esto puede ser extremadamente malicioso, ya que el atacante podría escribir un script que recupere la página solicitada de inmediato y configure el etter.dns archivo y escucha el inicio de sesión, todo automáticamente. Esto realmente debería alertarle de que es realmente así de simple realizar un ataque de suplantación de DNS con muy pocos recursos.

Detección

Entonces, ¿cómo te proteges de eso? Hay un par de formas: utilizando software creado para la detección de intoxicación por ARP o comprobando el arpa comando manualmente de forma regular (lo cual es una molestia).

Veamos primero el software, hay algunos que mencionaré.

  1. XArp

Una GUI avanzada de detección de suplantación de identidad ARP y software de sondeo activo. Está diseñado para este tipo de trabajo y funciona tanto en Windows como en Linux (también se puede configurar para OS X).

  1. Bufido

Lo más probable es que conozcas a Snort por su increíble IDS, pero estoy seguro de que no has oído que también detecta la suplantación de ARP (es posible que lo hayas hecho).

  1. ArpON

Este es un demonio de controlador portátil para proteger ARP contra la suplantación de identidad y el envenenamiento de caché.

Hay algunos otros como Arpwatch, Antidote y ArpAlert, pero puedes buscarlos en Google.

Ahora, ¿qué hay de la verificación manual? Bueno, este es un poco complicado ya que requiere que sepas algo de antemano. Lo que tu pudo Lo que debe hacer es recordar la dirección MAC (o partes de ella que lo ayudarán a reconocerla cuando la vea) de la puerta de enlace predeterminada (es decir, su enrutador) y seguir verificándola en la caché ARP.

Para verificar la caché ARP, vaya a la Terminal y escriba arp -a y verá varias entradas como esta:

(Eliminé las entradas de BSSID (dirección MAC) por razones de ‘seguridad’ (no realmente))

Si puede recordar algo como los primeros o últimos 6 caracteres de la dirección MAC de su puerta de enlace y verifique continuamente arp -a para ver si coincide, entonces tiene una forma de detectar el envenenamiento por ARP sin necesidad de ningún software de terceros. ¿No es genial?

Conclusión

Ahora ya sabe cómo funciona la suplantación de DNS y, lo que es más importante, cómo protegerse de ella. Estar en un foro de White Hat no solo significa aprender los ataques, sino también sus remedios. Esto es particularmente útil en escenarios de la vida real y espero que si te metes en este tipo de montón sepas cómo escapar de él.

Espero que hayas disfrutado del tutorial de hoy y espero que hayas aprendido algo de él. Cualquier sugerencia para futuros tutoriales la asimilaré con mucho gusto. Muy pronto lanzaré algo para la comunidad de Null-Byte, así que estad atentos.

Aquí hay una práctica versión en PDF de esta publicación si desea guardarla y leerla en un formato agradable más adelante: haga clic aquí.

Como siempre que tengas un gran día, paz.
TRT

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar