Ingenieria Social LAB-2 DNS Spoofing con ettercap

Este laboratorio complementara el anterior «Ingenieria Social LAB-1 Phishing con SET»  asignaremos por medio de un servidor intermedio la ruta dns para nuestro equipo victima.

Para entender de mejor forma este tipo de ataque, explicare algunas cosas que se deben conocer para comprender el funcionamiento de un DNS Spoofing

Guía de Ingeniería Social elaborada bajo contextos netamente éticos de investigación, información y educativos.  Utilizar con responsabilidad y asumiendo las consecuencias!!!

¿Que es un DNS y como funciona?

DNS Domain Name System (sistema de nombres de dominio) es la tecnología que permite la resolución de nombres en direcciones IP, de esta forma no es necesario para el ser humano recordar las direcciones IP de cada sitio que desee visitar, solo basta con saber el nombre FQDN, para poder conectarse.

DNS

En la imagen se presenta un esquema basico de una consulta DNS, donde el cliente envia la solicitud del dominio http://blog.xentech.cl, a su ISP y a su vez el ISP le consulta al servidor DNS, el servidor DNS le entrega la IP asociada a http://blog.xentech.cl, el ISP busca la IP y le presente al cliente lo solicitado, para el usuario todo esto pasa en fraccion de milisegundos y es completamente transparente para el.

DNS Spoofing, es un método para alterar las direcciones de los servidores DNS que utilizara la potencial víctima, y de esta forma poder tener control sobre las consultas que se realizan.  Se trata del falseamiento de una relación «Nombre de dominio <==> IP» ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables.  Esta tecnica esta entre las tecnicas de MITM.

DNS-spoofing

En la imagen se presenta un esquema del comportamiento de un DNS Spoofing, donde el cliente envía la solicitud del dominio http://blog.xentech.cl, a su ISP y a su vez el ISP le consulta al servidor DNS, PERO!!!! entre el servidor DNS y el ISP existe un servidor intruso el cual desvía el trafico, este servidor intruso le entrega la ip a donde quiere dirigir la consulta al ISP y este se la entrega al cliente, el cual sin saber que se esta conectando a una dirección falsa hara acceso a una trampa.  Para el usuario todo esto pasa en fracción de milisegundos y es completamente transparente para el.  El usuario en realidad se conectara a una pagina web falsa y estará dentro de la red del atacante, por lo que se podrá robar su trafico, infectarlo y todo tipo de información importante.

Ettercap

Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrada al vuelo, aun manteniendo las conexiones sincronizadas, gracias a su poder para establecer ataques Man-in-the-middle(Spoofing).  Ettercap es el conjunto de muchos modos de sniffing los cuales fueron implementados para darnos un conjunto de herramientas poderosas para tareas de pruebas de sniffing.

Configuracion de ettercat

En el laboratorio anterior clonamos la pagina web-login de facebook, pero nos encontramos con la dificultad de que el enlace debía ser enviado, y que para alguien que conoce un poco como funciona una url se dará cuenta que le estamos enviando una IP y no un login a la pagina de facebook.  Configuraremos ettercap para que este asigne un DNS falso y lo enviaremos a nuestra victima.

Aqui usaremos el servidor con kali y la victima sera nuestro servidor windows7(si es windows es victima)

1.- editar archivo etter.dns en el directorio /etc/ettercap

vim /etc/ettercap/etter.dns

Agregaremos al archivo las siguientes rutas, ojo! la IP a configurar es la de su KALI

facebook.com       A    192.168.254.154
*.facebook.com     A    192.168.254.154
wwww.facebook.com  PTR  192.168.254.154

facebook1handler

2.- Ejecutar ettercap  Applications ==> Sniffing & Spoofing ==> ettercap-graphical

Captura-de-pantalla-de-2016-01-20-14-50-35

Captura de pantalla de 2016-01-20 14-51-55

3.- Dentro de ettercap pinchar en Sniff ==> Unified Sniffing y establecer nuestra Interfaze de red

etter1

Captura de pantalla de 2016-01-20 14-55-48

4.- Escanear los host Hosts ==> Scan for Hosts

etter2

5.- Listar los host Hosts ==> Host list

etter3

6.- Del listado desplegado seleccionar el gateway y presionar Add Target 1

etter4

7.- Seleccionar del listado la dirección IP de nuestra victima y presionar en Add to Target 2

etter5

8.- Activar el plugins de Plugins ==> Manage the plugins y marcar con dos click *dns_spoof

etter6

9.- Activar el sniffing que ocuparemos para las conexiones remotas en este caso como comentamos al inicio sera un ataque man in the middle Mitm ==> Arp poisoning y clikear en Sniff remote connections

etter7

10.- Iniciar el Sniffer Start ==> Start sniffing

etter8

11.- Al momento de dar START, al momento de que nuestra victima habrá facebook sera dirijido directamente a nuestra ip y sera transparente para el, esto lo podemos comprobar realizando un nslokup en la VM victima

nslookup

>facebook.com

etter9

en la imagen podemos ver que al momento de consultar por facebook.com, este entrega como dirección ip la de nuestro servidor atacante 192.168.254.154

ahora revisaremos escribiendo la url http://www.facebook.com en el navegador del equipo victima

Captura de pantalla de 2016-01-20 15-54-12

Si revisamos el código fuente de esta web podremos darnos cuenta que en realidad se esta conectando a nuestro servidor intruso y no a la pagina oficial de facebook

etter10

Por ultimo ingresaremos un nombre de usuario y contraseña y revisaremos si nuestro SET (revisado en lab anterior) guardo los datos de la conexión

Captura de pantalla de 2016-01-20 15-57-33

etter11

Efectivamente nuestro SET guardo los datos de la web invalida de facebook y logramos conseguir su usuario y contraseña, con una web que para el usuario es completamente valida.

email : holamundo@test.cl
pass : password
Jorge Romero
Sigueme

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.