Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Liberada herramienta Evil FOCA con licencia GPL




Evil Foca es una herramienta para pentesters y auditores de seguridad que tiene como finalidad poner a prueba la seguridad en redes de datos IPv4 / IPv6.







La herramienta es capaz de realizar distintos ataques como:


  • MITM sobre redes IPv4 con ARP Spoofing y DHCP ACK Injection.
  • MITM sobre redes IPv6 con Neighbor Advertisement Spoofing, Ataque SLAAC, fake DHCPv6.
  • DoS (Denegación de Servicio) sobre redes IPv4 con ARP Spoofing.
  • DoS (Denegación de Servicio) sobre redes IPv6 con SLAAC DoS.
  • DNS Hijacking.

Automáticamente se encarga de escanear la red e identificar todos los dispositivos y sus respectivas interfaces de red, especificando sus direcciones IPv4 e IPv6 y las direcciones físicas a través de una interfaz cómoda e intuitiva.



Ataque de hombre en el medio (MITM) 


El conocido “Man In The Middle” es un ataque, en el que un malhechor crea la posibilidad de leer, inyectar o modificar información que hay en un canal entre 2 equipos sin que ninguno de ellos se entere. Dentro de los ataques de MITM en IPv4 e IPv6 Evil Foca contempla las siguientes técnicas:



ARP Spoofing 


Consiste en enviar mensajes ARP a la red Ethernet, normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro equipo. Cualquier tráfico dirigido a la dirección IP de la puerta de enlace predeterminada será erróneamente enviado al atacante, en lugar de a su destino real.

DHCP ACK Injection 


Consiste en que un atacante monitoriza los intercambios DHCP y en un determinado punto de la comunicación envía un paquete para modificar su comportamiento. Evil Foca se encargará de convertir el equipo en un servidor DHCP falso en la red.

Neighbor Adverticement Spoofing 


El principio de este ataque es el mismo que el de ARP Spoofing, la diferencia radica en que IPv6 no trabaja con el protocolo ARP, sino que toda la información se transmite a través de paquetes ICMPv6. Existen 5 tipos de paquetes ICMPv6 utilizados en el protocolo de descubrimiento y Evil Foca se encarga de generar ese tipo de paquetes, colocándose entre el gateway y la víctima.

Ataque SLAAC 


El objetivo de este ataque es poder hacer un MITM cuando un usuario se conecta a Internet a un servidor que no tiene soporte para IPv6 y que por lo tanto es necesario conectarse usando IPv4. Este ataque es posible debido a que Evil Foca se encarga de la resolución de nombres de dominio una vez situada en el medio de la comunicación, y es capaz de transformar las direcciones IPv4 en direcciones IPv6.

Falso DHCPv6 server 


Este ataque consiste en que el atacante se hace pasar por el servidor DCHPv6, respondiendo a todas las solicitudes de la red, repartiendo direcciones IPv6 y un DNS falso para manipular el destino de los usuarios o denegar el servicio.

Ataque de denegación de servicio (DoS) 


El ataque DoS es un ataque a un sistema de equipos o red que causa que un servicio o recurso sea inaccesible para sus usuarios. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

Ataque DoS en IPv4 con ARP Spoofing 


Este tipo de ataque DoS consiste en asociar una dirección MAC inexistente en la tabla ARP de una víctima, con esto se consigue queel equipo en el cual se ha modificado la tabla ARP sea incapaz de conectarse a la dirección IP asociada a la MAC inexistente.

Ataque DoS en IPv6 con ataque SLAAC 


En este tipo de ataque se genera una gran cantidad de paquetes “router advertisement” destinados a uno o varios equipos, anunciando falsos routers y asignando una dirección IPv6 y puerta de enlace diferente para cada router, colapsando el sistema y haciendo que los equipos no respondan.

DNS Hijacking 


El ataque de DNS Hijacking o secuestro de DNS consiste en alterar la resolución del sistema de nombres de dominio (DNS). Esto se puede lograr por malware que invalide la configuración de un equipo TCP / IP para que apunte a un servidor pirata DNS bajo el control de un atacante, o por medio de un ataque MITM, siendo el atacante el que reciba las peticiones DNS, y encargándose él de dar respuesta a una consulta DNS específica para dirigir a la víctima a un destino específico seleccionado por el atacante.

ARP Poisoning (o ARP Spoofing)
 • DNS spoofing

DHCP spoofing ARP Spoofing se trata de un ataque de MITM para redes ethernet, que permite al atacante capturar el tráfico que pasa por la red así como detenerlo (provocando una denegación de servicio), consistente en enviar mensajes ARP falsos, estas tramas ethernet contienen las direcciones MAC manipuladas se envían a los dispositivos de red encargados de la correcta distribución de las mismas, esto provoca que las tramas sean enviadas por las víctimas al atacante o a un destino no válido provocando una denegación de servicio

DNS spoofing utiliza respuestas falsas a las peticiones de resolución DNS enviadas por una “víctima” existen dos métodos en los que puede basarse el atacante

ID Spoofing se basa en obtener el ID de las peticiones de resolución, el atacante puede lograr esto a través de algún ataque de sniffing, como por ejemplo desbordar la tabla ARP “MAC Flooding” de los switchs para ponerlos en un modo conocido como fail open os lo explico en el post sobre CAM … pudiendo el atacante, a partir de ese momento, ser capaz de escuchar los ID de las peticiones, intentando responder a estas peticiones antes que el servidor real, logrando de esta forma engañar a la víctima y llevarla así a la dirección ip que tenga preparada para aprovechamiento.

Cache poisoning es similar al anterior, salvo que se dirige a los servidores de cache de DNS, redirigiendo así a todos sus clientes al host que indique el atacante, siendo esta la más común de las dos.

DHCP spoofing requerimientos de direcciones asignadas por DHCP son hechos con tramas de tipo broadcast, ya que deben ser escuchados por todos los dispositivos dentro de la red local si un atacante responde antes que el verdadero servidor, este puede pasarle información errónea a la víctima, como por ejemplo puede decirle que la puerta de enlace es él. Pudiendo ser bastante sencillo responder antes que el servidor, debido a que muchos verifican si no hay otro dispositivo en la red con la dirección que van a entregar, el atacante tiene una fracción de tiempo en la cual puede responder.



FOCA (Fingerprinting Organizations with Collected Archives)




FOCA (Fingerprinting Organizations with Collected Archives) es una herramienta utilizada principalmente para encontrar metadatos e información oculta en los documentos que examina. Estos documentos pueden estar en páginas web, y con FOCA se pueden descargar y analizar.

Fear the FOCA

Los documentos que es capaz de analizar son muy variados, siendo los más comunes los archivos de Microsoft Office, Open Office, o ficheros PDF, aunque también analiza ficheros de Adobe InDesign, o svg por ejemplo.

Estos documentos se buscan utilizando tres posibles buscadores que son Google, Bing y DuckDuckGo. La suma de los tres buscadores hace que se consigan un gran número de documentos. También existe la posibilidad de añadir ficheros locales para extraer la información EXIF de archivos gráficos, y antes incluso de descargar el fichero se ha realizado un análisis completo de la información descubierta a través de la URL.

Con todos los datos extraídos de todos los ficheros, FOCA va a unir la información, tratando de reconocer qué documentos han sido creados desde el mismo equipo, y qué servidores y clientes se pueden inferir de ellos.

FOCA comenzó siendo una herramienta de análisis de metadatos para dibujar una red a partir de los mismos, y en la actualidad se ha convertido en un referente en el ámbito de la seguridad informática, gracias a las numerosas opciones que incorpora. Gracias a dichas opciones con FOCA es posible realizar múltiples ataques y técnicas de análisis como:
  • Extracción de metadatos
  • Análisis de red
  • DNS Snooping
  • Búsqueda de ficheros comunes
  • Juicy files
  • Búsqueda de proxys
  • Reconocimiento de tecnologías
  • Fingerprinting
  • Leaks
  • Búsqueda de backups
  • Forzado de errores
  • Búsqueda de directorios abiertos
FOCA incluye un módulo de descubrimiento de servidores, cuyo objetivo es automatizar el proceso de búsqueda de los mismos usando técnicas enlazadas recursivamente. Las técnicas utilizadas en este sentido son:

  • Web Search: Busca nombres de hosts y dominios a través de la búsqueda de URLs asociadas al dominio principal, cada link es analizado para extraer de él nuevos nombres de hosts y nombres de domino.
  • DNS Search: A cada dominio se le consultará cuáles son los hostnames configurados en los servidores NS, MX y SPF para descubrir nuevos nombres de hosts y nombres de dominios.
  • Resolución IP: Cada nombre de host se resolverá contra el DNS para obtener la dirección IP asociada a ese nombre de servidor. Para que esta tarea sea lo más certera posible, la consulta se realiza contra un DNS interno de la organización.
  • PTR Scanning: Para encontrar más servidores en el mismo segmento de una determinada dirección IP FOCA realizará un escaneo de registros PTR.
  • Bing IP: Por cada dirección IP descubierta se lanzará un proceso de búsqueda de nuevos nombres de dominio asociados a esa dirección IP.
  • Common names: Este módulo está pensado para realizar ataques de diccionario contra el DNS. Utiliza un fichero de texto donde se añade una lista de nombres de host comunes como ftp, pc01, pc02, intranet, extranet, internal, test, etcétera.
  • DNS Prediction: Utilizado para aquellos entornos en los que se haya descubierto un nombre de equipo que pueda dar pie a pensar que se está utilizando un patrón en el sistema de nombres.
  • Robtex: El servicio Robtex es uno de los múltiples servicios que hay en Internet para analizar las direcciones IP y los dominios, FOCA lo utiliza para intentar descubrir nuevos dominios buscando en la información que Robtext posee de ella.

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.