Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
-
▼
septiembre
(Total:
47
)
- Google presenta oficialmente LG Nexus 5X y Huawei ...
- Vulnerabilidad en el cómputo de los clics en Googl...
- Timos y Fraudes vía WhatsApp en España
- Detectan un aumento inusual de ataques contra rout...
- Microsoft presenta oficialmente Office 2016
- Wikimedia publica su propio servicio de mapas basa...
- Hackean la cuenta de Facebook de Collet: "Los espa...
- Becas INCIBE de estudios de especialización en cib...
- Cartuchos de impresora: ojo con algunos modelos
- Parche de Apple soluciona vulnerabilidades crítica...
- Nueva actualización de seguridad para Adobe Flash ...
- Hackaton de CyberCamp 2015
- Semana Europea de la Programación (Octubre 2015)
- Google Chrome se cuelga con tan solo 16 caracteres
- Inhibidores de señal Wifi: inhabilita cámaras y dr...
- Espíame, no tengo nada que ocultar
- Cómo secar un móvil si se ha mojado por accidente
- Amazon presenta su tablet de 50 dólares
- Novedades del nuevo Chromecast de Google
- Grave vulnerabilidad en Bugzilla ya parcheada
- iOS 9 ya está disponible y corrige 101 fallos de s...
- Escritor pierde parte del libro de su vida por cul...
- Corrigen múltiples vulnerabilidades en WordPress 4...
- Extracción de hashes y contraseñas en texto plano ...
- Libro en inglés sobre Ingeniería Inversa app de iOS
- Suite de Test de Vulnerabilidades Android VTS
- Disponible DbgKit 1.3. (GUI para WinDbg)
- El iPhone 6s tiene 2 GB de RAM
- Firefox mostrará anuncios al abrir una nueva pestaña
- Google tomará medidas contra el Ransomware en Andr...
- ¿Es necesario crear un Carnet de Hacker en España?
- EEUU quiere prohibir firmwares alternativos en rou...
- Disponibles SystemRescueCd v4.6.0 y SparkyLinux 4....
- Documentos que instalan un backdoor a través de un...
- Según un estudio, la mitad de los iPhones son vuln...
- Nueva herramienta gratuita de Ashampoo para config...
- Adblock Plus: el nuevo navegador para iOS y Androi...
- Hackean el Twitter y Facebook de Irina Shayk
- Encontrada puerta trasera en discos NAS de Seagate...
- El Google Nexus 6 ha bajado casi un 50% de precio ...
- Canon presenta un sensor de 250 megapíxeles
- Google Chrome versión 45 promete ahorrar memoria R...
- Liberada herramienta Evil FOCA con licencia GPL
- Comparativa de Gestores de Contraseñas para Window...
- Google estrena nuevo Logo y Favicon
- Movistar también ofrecerá 300 MB simétricos
- AIO 2015 - Compilación herramientas análisis y des...
-
▼
septiembre
(Total:
47
)
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
354
)
ransomware
(
340
)
vulnerabilidad
(
303
)
Malware
(
264
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
204
)
hardware
(
193
)
linux
(
125
)
twitter
(
116
)
ddos
(
95
)
WhatsApp
(
91
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Liberada herramienta Evil FOCA con licencia GPL
sábado, 5 de septiembre de 2015
|
Publicado por
el-brujo
|
Editar entrada
Evil Foca es una herramienta para pentesters y auditores de seguridad que tiene como finalidad poner a prueba la seguridad en redes de datos IPv4 / IPv6.
La herramienta es capaz de realizar distintos ataques como:
Automáticamente se encarga de escanear la red e identificar todos los dispositivos y sus respectivas interfaces de red, especificando sus direcciones IPv4 e IPv6 y las direcciones físicas a través de una interfaz cómoda e intuitiva.
El conocido “Man In The Middle” es un ataque, en el que un malhechor crea la posibilidad de leer, inyectar o modificar información que hay en un canal entre 2 equipos sin que ninguno de ellos se entere. Dentro de los ataques de MITM en IPv4 e IPv6 Evil Foca contempla las siguientes técnicas:
Consiste en enviar mensajes ARP a la red Ethernet, normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro equipo. Cualquier tráfico dirigido a la dirección IP de la puerta de enlace predeterminada será erróneamente enviado al atacante, en lugar de a su destino real.
Consiste en que un atacante monitoriza los intercambios DHCP y en un determinado punto de la comunicación envía un paquete para modificar su comportamiento. Evil Foca se encargará de convertir el equipo en un servidor DHCP falso en la red.
El principio de este ataque es el mismo que el de ARP Spoofing, la diferencia radica en que IPv6 no trabaja con el protocolo ARP, sino que toda la información se transmite a través de paquetes ICMPv6. Existen 5 tipos de paquetes ICMPv6 utilizados en el protocolo de descubrimiento y Evil Foca se encarga de generar ese tipo de paquetes, colocándose entre el gateway y la víctima.
El objetivo de este ataque es poder hacer un MITM cuando un usuario se conecta a Internet a un servidor que no tiene soporte para IPv6 y que por lo tanto es necesario conectarse usando IPv4. Este ataque es posible debido a que Evil Foca se encarga de la resolución de nombres de dominio una vez situada en el medio de la comunicación, y es capaz de transformar las direcciones IPv4 en direcciones IPv6.
Este ataque consiste en que el atacante se hace pasar por el servidor DCHPv6, respondiendo a todas las solicitudes de la red, repartiendo direcciones IPv6 y un DNS falso para manipular el destino de los usuarios o denegar el servicio.
El ataque DoS es un ataque a un sistema de equipos o red que causa que un servicio o recurso sea inaccesible para sus usuarios. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Este tipo de ataque DoS consiste en asociar una dirección MAC inexistente en la tabla ARP de una víctima, con esto se consigue queel equipo en el cual se ha modificado la tabla ARP sea incapaz de conectarse a la dirección IP asociada a la MAC inexistente.
En este tipo de ataque se genera una gran cantidad de paquetes “router advertisement” destinados a uno o varios equipos, anunciando falsos routers y asignando una dirección IPv6 y puerta de enlace diferente para cada router, colapsando el sistema y haciendo que los equipos no respondan.
El ataque de DNS Hijacking o secuestro de DNS consiste en alterar la resolución del sistema de nombres de dominio (DNS). Esto se puede lograr por malware que invalide la configuración de un equipo TCP / IP para que apunte a un servidor pirata DNS bajo el control de un atacante, o por medio de un ataque MITM, siendo el atacante el que reciba las peticiones DNS, y encargándose él de dar respuesta a una consulta DNS específica para dirigir a la víctima a un destino específico seleccionado por el atacante.
• ARP Poisoning (o ARP Spoofing)
• DNS spoofing
• DHCP spoofing ARP Spoofing se trata de un ataque de MITM para redes ethernet, que permite al atacante capturar el tráfico que pasa por la red así como detenerlo (provocando una denegación de servicio), consistente en enviar mensajes ARP falsos, estas tramas ethernet contienen las direcciones MAC manipuladas se envían a los dispositivos de red encargados de la correcta distribución de las mismas, esto provoca que las tramas sean enviadas por las víctimas al atacante o a un destino no válido provocando una denegación de servicio
DNS spoofing utiliza respuestas falsas a las peticiones de resolución DNS enviadas por una “víctima” existen dos métodos en los que puede basarse el atacante
ID Spoofing se basa en obtener el ID de las peticiones de resolución, el atacante puede lograr esto a través de algún ataque de sniffing, como por ejemplo desbordar la tabla ARP “MAC Flooding” de los switchs para ponerlos en un modo conocido como fail open os lo explico en el post sobre CAM … pudiendo el atacante, a partir de ese momento, ser capaz de escuchar los ID de las peticiones, intentando responder a estas peticiones antes que el servidor real, logrando de esta forma engañar a la víctima y llevarla así a la dirección ip que tenga preparada para aprovechamiento.
Cache poisoning es similar al anterior, salvo que se dirige a los servidores de cache de DNS, redirigiendo así a todos sus clientes al host que indique el atacante, siendo esta la más común de las dos.
DHCP spoofing requerimientos de direcciones asignadas por DHCP son hechos con tramas de tipo broadcast, ya que deben ser escuchados por todos los dispositivos dentro de la red local si un atacante responde antes que el verdadero servidor, este puede pasarle información errónea a la víctima, como por ejemplo puede decirle que la puerta de enlace es él. Pudiendo ser bastante sencillo responder antes que el servidor, debido a que muchos verifican si no hay otro dispositivo en la red con la dirección que van a entregar, el atacante tiene una fracción de tiempo en la cual puede responder.
FOCA (Fingerprinting Organizations with Collected Archives) es una herramienta utilizada principalmente para encontrar metadatos e información oculta en los documentos que examina. Estos documentos pueden estar en páginas web, y con FOCA se pueden descargar y analizar.
Los documentos que es capaz de analizar son muy variados, siendo los más comunes los archivos de Microsoft Office, Open Office, o ficheros PDF, aunque también analiza ficheros de Adobe InDesign, o svg por ejemplo.
Estos documentos se buscan utilizando tres posibles buscadores que son Google, Bing y DuckDuckGo. La suma de los tres buscadores hace que se consigan un gran número de documentos. También existe la posibilidad de añadir ficheros locales para extraer la información EXIF de archivos gráficos, y antes incluso de descargar el fichero se ha realizado un análisis completo de la información descubierta a través de la URL.
Con todos los datos extraídos de todos los ficheros, FOCA va a unir la información, tratando de reconocer qué documentos han sido creados desde el mismo equipo, y qué servidores y clientes se pueden inferir de ellos.
FOCA comenzó siendo una herramienta de análisis de metadatos para dibujar una red a partir de los mismos, y en la actualidad se ha convertido en un referente en el ámbito de la seguridad informática, gracias a las numerosas opciones que incorpora. Gracias a dichas opciones con FOCA es posible realizar múltiples ataques y técnicas de análisis como:
- https://github.com/ElevenPaths/EvilFOCA
- https://www.elevenpaths.com/es/labstools/evil-focasp/index.html
La herramienta es capaz de realizar distintos ataques como:
- MITM sobre redes IPv4 con ARP Spoofing y DHCP ACK Injection.
- MITM sobre redes IPv6 con Neighbor Advertisement Spoofing, Ataque SLAAC, fake DHCPv6.
- DoS (Denegación de Servicio) sobre redes IPv4 con ARP Spoofing.
- DoS (Denegación de Servicio) sobre redes IPv6 con SLAAC DoS.
- DNS Hijacking.
Automáticamente se encarga de escanear la red e identificar todos los dispositivos y sus respectivas interfaces de red, especificando sus direcciones IPv4 e IPv6 y las direcciones físicas a través de una interfaz cómoda e intuitiva.
Ataque de hombre en el medio (MITM)
El conocido “Man In The Middle” es un ataque, en el que un malhechor crea la posibilidad de leer, inyectar o modificar información que hay en un canal entre 2 equipos sin que ninguno de ellos se entere. Dentro de los ataques de MITM en IPv4 e IPv6 Evil Foca contempla las siguientes técnicas:
ARP Spoofing
Consiste en enviar mensajes ARP a la red Ethernet, normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro equipo. Cualquier tráfico dirigido a la dirección IP de la puerta de enlace predeterminada será erróneamente enviado al atacante, en lugar de a su destino real.
DHCP ACK Injection
Consiste en que un atacante monitoriza los intercambios DHCP y en un determinado punto de la comunicación envía un paquete para modificar su comportamiento. Evil Foca se encargará de convertir el equipo en un servidor DHCP falso en la red.
Neighbor Adverticement Spoofing
El principio de este ataque es el mismo que el de ARP Spoofing, la diferencia radica en que IPv6 no trabaja con el protocolo ARP, sino que toda la información se transmite a través de paquetes ICMPv6. Existen 5 tipos de paquetes ICMPv6 utilizados en el protocolo de descubrimiento y Evil Foca se encarga de generar ese tipo de paquetes, colocándose entre el gateway y la víctima.
Ataque SLAAC
El objetivo de este ataque es poder hacer un MITM cuando un usuario se conecta a Internet a un servidor que no tiene soporte para IPv6 y que por lo tanto es necesario conectarse usando IPv4. Este ataque es posible debido a que Evil Foca se encarga de la resolución de nombres de dominio una vez situada en el medio de la comunicación, y es capaz de transformar las direcciones IPv4 en direcciones IPv6.
Falso DHCPv6 server
Este ataque consiste en que el atacante se hace pasar por el servidor DCHPv6, respondiendo a todas las solicitudes de la red, repartiendo direcciones IPv6 y un DNS falso para manipular el destino de los usuarios o denegar el servicio.
Ataque de denegación de servicio (DoS)
El ataque DoS es un ataque a un sistema de equipos o red que causa que un servicio o recurso sea inaccesible para sus usuarios. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Ataque DoS en IPv4 con ARP Spoofing
Este tipo de ataque DoS consiste en asociar una dirección MAC inexistente en la tabla ARP de una víctima, con esto se consigue queel equipo en el cual se ha modificado la tabla ARP sea incapaz de conectarse a la dirección IP asociada a la MAC inexistente.
Ataque DoS en IPv6 con ataque SLAAC
En este tipo de ataque se genera una gran cantidad de paquetes “router advertisement” destinados a uno o varios equipos, anunciando falsos routers y asignando una dirección IPv6 y puerta de enlace diferente para cada router, colapsando el sistema y haciendo que los equipos no respondan.
DNS Hijacking
El ataque de DNS Hijacking o secuestro de DNS consiste en alterar la resolución del sistema de nombres de dominio (DNS). Esto se puede lograr por malware que invalide la configuración de un equipo TCP / IP para que apunte a un servidor pirata DNS bajo el control de un atacante, o por medio de un ataque MITM, siendo el atacante el que reciba las peticiones DNS, y encargándose él de dar respuesta a una consulta DNS específica para dirigir a la víctima a un destino específico seleccionado por el atacante.
• ARP Poisoning (o ARP Spoofing)
• DNS spoofing
• DHCP spoofing ARP Spoofing se trata de un ataque de MITM para redes ethernet, que permite al atacante capturar el tráfico que pasa por la red así como detenerlo (provocando una denegación de servicio), consistente en enviar mensajes ARP falsos, estas tramas ethernet contienen las direcciones MAC manipuladas se envían a los dispositivos de red encargados de la correcta distribución de las mismas, esto provoca que las tramas sean enviadas por las víctimas al atacante o a un destino no válido provocando una denegación de servicio
DNS spoofing utiliza respuestas falsas a las peticiones de resolución DNS enviadas por una “víctima” existen dos métodos en los que puede basarse el atacante
ID Spoofing se basa en obtener el ID de las peticiones de resolución, el atacante puede lograr esto a través de algún ataque de sniffing, como por ejemplo desbordar la tabla ARP “MAC Flooding” de los switchs para ponerlos en un modo conocido como fail open os lo explico en el post sobre CAM … pudiendo el atacante, a partir de ese momento, ser capaz de escuchar los ID de las peticiones, intentando responder a estas peticiones antes que el servidor real, logrando de esta forma engañar a la víctima y llevarla así a la dirección ip que tenga preparada para aprovechamiento.
Cache poisoning es similar al anterior, salvo que se dirige a los servidores de cache de DNS, redirigiendo así a todos sus clientes al host que indique el atacante, siendo esta la más común de las dos.
DHCP spoofing requerimientos de direcciones asignadas por DHCP son hechos con tramas de tipo broadcast, ya que deben ser escuchados por todos los dispositivos dentro de la red local si un atacante responde antes que el verdadero servidor, este puede pasarle información errónea a la víctima, como por ejemplo puede decirle que la puerta de enlace es él. Pudiendo ser bastante sencillo responder antes que el servidor, debido a que muchos verifican si no hay otro dispositivo en la red con la dirección que van a entregar, el atacante tiene una fracción de tiempo en la cual puede responder.
FOCA (Fingerprinting Organizations with Collected Archives)
FOCA (Fingerprinting Organizations with Collected Archives) es una herramienta utilizada principalmente para encontrar metadatos e información oculta en los documentos que examina. Estos documentos pueden estar en páginas web, y con FOCA se pueden descargar y analizar.
Fear the FOCA
Los documentos que es capaz de analizar son muy variados, siendo los más comunes los archivos de Microsoft Office, Open Office, o ficheros PDF, aunque también analiza ficheros de Adobe InDesign, o svg por ejemplo.
Estos documentos se buscan utilizando tres posibles buscadores que son Google, Bing y DuckDuckGo. La suma de los tres buscadores hace que se consigan un gran número de documentos. También existe la posibilidad de añadir ficheros locales para extraer la información EXIF de archivos gráficos, y antes incluso de descargar el fichero se ha realizado un análisis completo de la información descubierta a través de la URL.
Con todos los datos extraídos de todos los ficheros, FOCA va a unir la información, tratando de reconocer qué documentos han sido creados desde el mismo equipo, y qué servidores y clientes se pueden inferir de ellos.
FOCA comenzó siendo una herramienta de análisis de metadatos para dibujar una red a partir de los mismos, y en la actualidad se ha convertido en un referente en el ámbito de la seguridad informática, gracias a las numerosas opciones que incorpora. Gracias a dichas opciones con FOCA es posible realizar múltiples ataques y técnicas de análisis como:
- Extracción de metadatos
- Análisis de red
- DNS Snooping
- Búsqueda de ficheros comunes
- Juicy files
- Búsqueda de proxys
- Reconocimiento de tecnologías
- Fingerprinting
- Leaks
- Búsqueda de backups
- Forzado de errores
- Búsqueda de directorios abiertos
- Web Search: Busca nombres de hosts y dominios a través de la búsqueda de URLs asociadas al dominio principal, cada link es analizado para extraer de él nuevos nombres de hosts y nombres de domino.
- DNS Search: A cada dominio se le consultará cuáles son los hostnames configurados en los servidores NS, MX y SPF para descubrir nuevos nombres de hosts y nombres de dominios.
- Resolución IP: Cada nombre de host se resolverá contra el DNS para obtener la dirección IP asociada a ese nombre de servidor. Para que esta tarea sea lo más certera posible, la consulta se realiza contra un DNS interno de la organización.
- PTR Scanning: Para encontrar más servidores en el mismo segmento de una determinada dirección IP FOCA realizará un escaneo de registros PTR.
- Bing IP: Por cada dirección IP descubierta se lanzará un proceso de búsqueda de nuevos nombres de dominio asociados a esa dirección IP.
- Common names: Este módulo está pensado para realizar ataques de diccionario contra el DNS. Utiliza un fichero de texto donde se añade una lista de nombres de host comunes como ftp, pc01, pc02, intranet, extranet, internal, test, etcétera.
- DNS Prediction: Utilizado para aquellos entornos en los que se haya descubierto un nombre de equipo que pueda dar pie a pensar que se está utilizando un patrón en el sistema de nombres.
- Robtex: El servicio Robtex es uno de los múltiples servicios que hay en Internet para analizar las direcciones IP y los dominios, FOCA lo utiliza para intentar descubrir nuevos dominios buscando en la información que Robtext posee de ella.
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
arp
,
cache
,
dhcp
,
dns
,
evil FOCA
,
FOCA
,
FOCA (Fingerprinting Organizations with Collected Archives)
,
herramientas
,
Man in the Middle
,
mitm
,
poisoning
,
slaac
,
spoofing
,
tools
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.