Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1084
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
▼
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
enero
(Total:
27
)
- Riesgo de robo en coches "sin llave" keyless usand...
- Error en FaceTime de Apple permite activar micrófo...
- Fuentes de Alimentación: potencia, tipos, caracter...
- Novedades WhatsApp: bloqueo por huella dactilar y ...
- La ingeniería fiscal de Google: 12.600 millones de...
- Alertas Phishing: Agencia Tributaria y BBVA - Cues...
- Vulnerabilidad crítica en switches de Cisco permit...
- Vulnerabilidad en el firmware para chips Wi-Fi afe...
- El Consejo Europeo rechaza los artículos 11 y 13
- Solucionan graves fallos de seguridad XSS y SQLi e...
- Vulnerabilidad en Android ES File Explorer expone ...
- Mega filtración masiva récord: 772 millones cuenta...
- Expuestos más de 1.000 expedientes de Erasmus de l...
- Phishing evadiendo segundo factor de autenticación...
- DNS sobre TLS en Android
- Xiaomi presenta Redmi Note 7 con cámara de 48 mega...
- Roban 1,1 millones de dólares en moneda Ethereum C...
- EFF propone cifrar también el correo electrónico
- ¿Los pines extras del socket Intel Z390 no sirven ...
- El juez de iDental imputa al presidente de OVH, He...
- Filtran datos personales de más de mil políticos A...
- Implementan medidas de seguridad para los cables d...
- Hackean más de 72 mil Chromecasts
- ¿Qué es CGNAT? Tipos de NAT
- Herramientas para colorear, quitar fondos, recorta...
- Aplicaciones Android que mandan datos a Facebook s...
- La Unión Europea recompensará la caza de bugs en p...
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
236
)
manual
(
221
)
software
(
206
)
hardware
(
196
)
linux
(
126
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un conector HDMI dummy o fantasma no es más que un HDMI que simula que hay una pantalla conectada. Tienen una variedad de propósitos útil...
-
En WhatsApp se han dicho verdaderas barbaridades. Todos hemos cometido el error de escribir algo en caliente . Y de arrepentirnos. Tal vez ...
Phishing evadiendo segundo factor de autenticación 2FA
domingo, 13 de enero de 2019
|
Publicado por
el-brujo
|
Editar entrada
El investigador en seguridad polaco, llamado Piotr Duszyński, desarrolló
una nueva herramienta para pruebas de penetración llamada Modlishka y
que según sus propias palabras “permite llevar las campañas de phishing
a un nivel superior y con mínimo esfuerzo”. La herramienta puede ser
utilizada para suplantar incluso sitios web populares como Yahoo o
Gmail. Para el autor de la herramienta la única medida realmente efectiva es la utilización de llaves físicas (hardware) Fido - U2F para usar e manera segura el doble factor de autenticación 2FA. No es la primera herramienta capaz de saltar doble factor 2FA ya que Evilginx2 es una buena prueba de ello.
Modlishka es una herramienta de proxy inverso escrita en en lenguaje de programación "Go". El software refuerza el hecho de que la ingeniería social es una amenaza seria y no puede ser tratada a la ligera.
En la página a continuación, describiré brevemente cómo se puede utilizar esta herramienta para omitir la mayoría de los esquemas de autenticación 2FA utilizados actualmente.
Algunas de las principales funcionalidades que ofrece esta herramienta de proxy inverso, son: soporte para la mayoría de los esquemas de doble factor de autenticación; la solo necesidad de indicar a Modlishka cuál es el dominio apuntado para que automáticamente sea manipulado sin necesidad de templates de sitios web; control absoluto del flujo de tráfico TLS de origen que pasa por el navegador de la víctima; posibilidad de configurar de manera sencilla posibles escenarios de phishing a través de las opciones de configuración; remoción de los sitios web todo cifrado y headers de seguridad; recolección de credenciales de usuarios, entre otras funcionalidades más.
Recientemente hubo muchos rumores sobre este tema en Internet, a pesar de que esta técnica ha existido y se ha explotado durante bastante tiempo.
A lo largo de muchos años de experiencia en pruebas de penetración, se ha encontrado que la "ingeniería social" es la forma más fácil y efectiva de ingresar a la red interna de un cliente. muchos grupos de APT piensan lo mismo ... Esto es todo porque uno definitivamente no necesita quemar un exploit de 0 días para todas esas sofisticadas defensas de seguridad de primera categoría que están protegiendo el perímetro, cuando a menudo son pocos los correos electrónicos o Las llamadas telefónicas funcionarán perfectamente para comprometer la infraestructura interna y los datos confidenciales de las empresas.
Modlishka fue escrito con el objetivo de hacer que el segundo enfoque (campañas de phishing) sea lo más efectivo posible.
Esta herramienta debería ser muy útil para todos los evaluadores de penetración, que desean llevar a cabo una campaña de phishing efectiva (también como parte de sus compromisos con el equipo rojo).
Nota: Esta será una configuración de ejemplo que se ejecutará localmente en su computadora.
1. Descargar la herramienta
2. Configure el complemento ‘autocert’
Este paso es necesario si desea servir la página a través de un canal TLS de confianza para el navegador:
Reemplace la variable const CA_CERT con el contenido del archivo MyRootCA.pem y la constante CA_CERT_KEY con el contenido de MyRootCA.key en el archivo ‘plugin / autocert.go’.
Instale y establezca el nivel de confianza adecuado para la CA ‘MyRootCA’ en el almacén de certificados de su navegador y listo.
3. Compilar y lanzar "Modlishka"
La elección de un servicio de ejemplo se basa exclusivamente en su popularidad y creo que está realmente bien asegurado. Como tal, no estoy tratando de demostrar que no es el caso (especialmente porque la mayoría de los servicios se pueden orientar de manera similar), sino de crear conciencia sobre el riesgo utilizando uno de los servicios más populares como prueba de concepto.
4. Ver la página web en su navegador.
Modlishka en acción contra un esquema de autenticación habilitado 2FA (SMS) de ejemplo:
Ver el vídeo
Phishing with Modlishka (bypass 2FA) from Piotr Duszynski on Vimeo.
https://vimeo.com/308709275
El siguiente enlace se puede usar para ver su página de prueba iniciada. Puede observar cómo el parámetro "ident" está oculto para el usuario en una primera solicitud:
Las credenciales recopiladas se pueden encontrar en el archivo de "registro" (log) o a través de uno de los complementos incluidos (esto incluye la suplantación de la sesión, aunque aún en versión beta):
5. Personaliza tu configuración
Si te gusta la herramienta. Puedes comenzar a ajustar la configuración para su dominio elegido. Modlishka se puede personalizar fácilmente a través de un conjunto de opciones de línea de comandos disponibles o archivos de configuración JSON.
Por favor, consulte las páginas wiki para más descripciones de la funcionalidad.
Conclusión
Entonces surge la pregunta ... ¿está roto 2FA?
No, en absoluto, pero con un proxy inverso correcto que se dirige a su dominio a través de un navegador cifrado y confiable, el canal de comunicación realmente puede tener serias dificultades para darse cuenta de que algo está muy mal.
Agregue a la ecuación diferentes errores de navegador, que permiten la suplantación de la barra de URL, y el problema podría ser aún mayor ...
Incluya la falta de conocimiento del usuario y, literalmente, significa entregar sus activos más valiosos a sus adversarios en una placa de plata.
Al final, incluso los sistemas de defensa de seguridad más sofisticados pueden fallar si no hay suficiente conocimiento del usuario y viceversa.
Actualmente, la única forma de abordar este problema, desde una perspectiva técnica, es confiar completamente en los tokens de hardware 2FA, que se basan en el protocolo U2F. Puedes comprarlos fácilmente en línea. Sin embargo, recuerde que el conocimiento correcto del usuario es igual de importante.
Resumiendo, deberías:
¿Por qué están lanzando esta herramienta? Creen que sin una prueba de concepto que funcione, eso realmente prueba el punto, el riesgo se trata como teórico y no se toman medidas reales para abordarlo.
Es una herramienta para ataques MITM que permite evadir incluso autenticación de dos factores
Evilginx se convierte en un relevo entre el sitio web real y el usuario phishing . El usuario de Phishing interactúa con el sitio web real, mientras que Evilginx captura todos los datos que se transmiten entre las dos partes.
Evilginx 2 - Next Generation of Phishing 2FA Tokens from breakdev.org on Vimeo.
Funcionamiento
Fuentes:
https://www.welivesecurity.com/la-es/2019/01/11/divulgan-herramienta-programar-campanas-phishing-logra-evadir-doble-factor-autenticacion/
https://github.com/drk1wi/Modlishka
https://blog.duszynski.eu/phishing-ng-bypassing-2fa-with-modlishka/
https://securityhacklabs.net/articulo/evilginx2-herramienta-para-ataques-mitm-que-permite-evadir-incluso-autenticacion-de-dos-factores
https://breakdev.org/evilginx-2-next-generation-of-phishing-2fa-tokens/
Modlishka es una herramienta de proxy inverso escrita en en lenguaje de programación "Go". El software refuerza el hecho de que la ingeniería social es una amenaza seria y no puede ser tratada a la ligera.
En la página a continuación, describiré brevemente cómo se puede utilizar esta herramienta para omitir la mayoría de los esquemas de autenticación 2FA utilizados actualmente.
Características Modlishka
Algunas de las principales funcionalidades que ofrece esta herramienta de proxy inverso, son: soporte para la mayoría de los esquemas de doble factor de autenticación; la solo necesidad de indicar a Modlishka cuál es el dominio apuntado para que automáticamente sea manipulado sin necesidad de templates de sitios web; control absoluto del flujo de tráfico TLS de origen que pasa por el navegador de la víctima; posibilidad de configurar de manera sencilla posibles escenarios de phishing a través de las opciones de configuración; remoción de los sitios web todo cifrado y headers de seguridad; recolección de credenciales de usuarios, entre otras funcionalidades más.
- Support for majority of 2FA authentication schemes (by design).
- No website templates (just point Modlishka to the target domain - in most cases, it will be handled automatically).
- Full control of "cross" origin TLS traffic flow from your victims browsers.
- Flexible and easily configurable phishing scenarios through configuration options.
- Pattern based JavaScript payload injection.
- Striping website from all encryption and security headers (back to 90's MITM style).
- User credential harvesting (with context based on URL parameter passed identifiers).
- Can be extended with your ideas through plugins.
- Stateless design. Can be scaled up easily for an arbitrary number of users - ex. through a DNS load balancer.
- Web panel with a summary of collected credentials and user session impersonation (beta).
- Written in Go.
Recientemente hubo muchos rumores sobre este tema en Internet, a pesar de que esta técnica ha existido y se ha explotado durante bastante tiempo.
Introducción de "Modlishka"
A lo largo de muchos años de experiencia en pruebas de penetración, se ha encontrado que la "ingeniería social" es la forma más fácil y efectiva de ingresar a la red interna de un cliente. muchos grupos de APT piensan lo mismo ... Esto es todo porque uno definitivamente no necesita quemar un exploit de 0 días para todas esas sofisticadas defensas de seguridad de primera categoría que están protegiendo el perímetro, cuando a menudo son pocos los correos electrónicos o Las llamadas telefónicas funcionarán perfectamente para comprometer la infraestructura interna y los datos confidenciales de las empresas.
Modlishka fue escrito con el objetivo de hacer que el segundo enfoque (campañas de phishing) sea lo más efectivo posible.
Esta herramienta debería ser muy útil para todos los evaluadores de penetración, que desean llevar a cabo una campaña de phishing efectiva (también como parte de sus compromisos con el equipo rojo).
Eludir 2FA
Nota: Esta será una configuración de ejemplo que se ejecutará localmente en su computadora.
1. Descargar la herramienta
$ go get -u github.com/drk1wi/Modlishka
$ cd $GOPATH/src/github.com/drk1wi/Modlishka/ /
2. Configure el complemento ‘autocert’
Este paso es necesario si desea servir la página a través de un canal TLS de confianza para el navegador:
$ openssl genrsa -out MyRootCA.key 2048`
$ openssl req -x509 -new -nodes -key MyRootCA.key -sha256 -days 1024 -out MyRootCA.pem
Reemplace la variable const CA_CERT con el contenido del archivo MyRootCA.pem y la constante CA_CERT_KEY con el contenido de MyRootCA.key en el archivo ‘plugin / autocert.go’.
Instale y establezca el nivel de confianza adecuado para la CA ‘MyRootCA’ en el almacén de certificados de su navegador y listo.
3. Compilar y lanzar "Modlishka"
$ make
$ sudo ./dist/proxy -config templates/google.com_gsuite.json
La elección de un servicio de ejemplo se basa exclusivamente en su popularidad y creo que está realmente bien asegurado. Como tal, no estoy tratando de demostrar que no es el caso (especialmente porque la mayoría de los servicios se pueden orientar de manera similar), sino de crear conciencia sobre el riesgo utilizando uno de los servicios más populares como prueba de concepto.
4. Ver la página web en su navegador.
Modlishka en acción contra un esquema de autenticación habilitado 2FA (SMS) de ejemplo:
Ver el vídeo
Phishing with Modlishka (bypass 2FA) from Piotr Duszynski on Vimeo.
https://vimeo.com/308709275
El siguiente enlace se puede usar para ver su página de prueba iniciada. Puede observar cómo el parámetro "ident" está oculto para el usuario en una primera solicitud:
https://loopback.modlishka.io?ident=user_tracking_param.
Las credenciales recopiladas se pueden encontrar en el archivo de "registro" (log) o a través de uno de los complementos incluidos (esto incluye la suplantación de la sesión, aunque aún en versión beta):
5. Personaliza tu configuración
Si te gusta la herramienta. Puedes comenzar a ajustar la configuración para su dominio elegido. Modlishka se puede personalizar fácilmente a través de un conjunto de opciones de línea de comandos disponibles o archivos de configuración JSON.
Por favor, consulte las páginas wiki para más descripciones de la funcionalidad.
Conclusión
Entonces surge la pregunta ... ¿está roto 2FA?
No, en absoluto, pero con un proxy inverso correcto que se dirige a su dominio a través de un navegador cifrado y confiable, el canal de comunicación realmente puede tener serias dificultades para darse cuenta de que algo está muy mal.
Agregue a la ecuación diferentes errores de navegador, que permiten la suplantación de la barra de URL, y el problema podría ser aún mayor ...
Incluya la falta de conocimiento del usuario y, literalmente, significa entregar sus activos más valiosos a sus adversarios en una placa de plata.
Al final, incluso los sistemas de defensa de seguridad más sofisticados pueden fallar si no hay suficiente conocimiento del usuario y viceversa.
Actualmente, la única forma de abordar este problema, desde una perspectiva técnica, es confiar completamente en los tokens de hardware 2FA, que se basan en el protocolo U2F. Puedes comprarlos fácilmente en línea. Sin embargo, recuerde que el conocimiento correcto del usuario es igual de importante.
Resumiendo, deberías:
- usar tokens de hardware U2F como su segundo factor de autenticación.
- usar administradores de contraseñas, que asegurarán que el nombre de dominio en su navegador sea correcto antes de pegar la contraseña.
- Aumentar constantemente la conciencia de los usuarios sobre las técnicas actuales de ingeniería social.
¿Por qué están lanzando esta herramienta? Creen que sin una prueba de concepto que funcione, eso realmente prueba el punto, el riesgo se trata como teórico y no se toman medidas reales para abordarlo.
Evilginx 2
Es una herramienta para ataques MITM que permite evadir incluso autenticación de dos factores
Evilginx se convierte en un relevo entre el sitio web real y el usuario phishing . El usuario de Phishing interactúa con el sitio web real, mientras que Evilginx captura todos los datos que se transmiten entre las dos partes.
Evilginx, al ser el hombre en el medio, captura no solo nombres de usuario y contraseñas, sino que también captura tokens de autenticación enviados, como cookies. Los tokens de autenticación capturados permiten al atacante eludir cualquier forma de 2FA (autenticación de dos factores) habilitada en la cuenta del usuario (excepto U2F, más información al respecto más adelante).
Incluso si el usuario víctima de phishing tiene 2FA habilitado, el atacante, equipado solo con un dominio y un servidor VPS, puede tomar control remoto de su cuenta . No importa si 2FA está usando códigos de SMS, aplicación de autenticación móvil o claves de recuperación.
Evilginx 2 - Next Generation of Phishing 2FA Tokens from breakdev.org on Vimeo.
Funcionamiento
#Instalación de dependencias
pacman --needed -Syu go dep git
#Descarga de evilginx2
go get -u github.com/kgretzky/evilginx2
#Compilación de evilginx2
cd $HOME/go/src/github.com/kgretzky/evilginx2
make
sudo ./bin/evilginx -p ./phishlets/
Después de cada inicio de sesión exitoso, el sitio web genera un token de autenticación para la sesión del usuario. Este token (o tokens múltiples) se envía al navegador web como una cookie y se guarda para su uso futuro. Desde ese punto, cada solicitud enviada desde el navegador al sitio web contendrá ese token de sesión, enviado como una cookie. Así es como los sitios web reconocen a los usuarios autenticados después de una autenticación exitosa. No piden a los usuarios que inicien sesión, cada vez que se vuelve a cargar la página.
Esta cookie de token de sesión es oro puro para el atacante .
Si exporta cookies desde su navegador e las importa a un navegador
diferente, en una computadora diferente, en un país diferente, estará
autorizado y tendrá acceso completo a la cuenta, sin que se le pidan
nombres de usuario, contraseñas o tokens 2FA.
Cuando la víctima ingresa las
credenciales y se le pide que brinde una respuesta de desafío 2FA,
todavía están hablando con el sitio web real, con Evilginx
retransmitiendo los paquetes hacia adelante y hacia atrás, sentados en
el medio. Incluso mientras es víctima de un ataque de phishing, la víctima seguirá recibiendo el código 2FA SMS en su teléfono móvil, ya que está hablando con el sitio web real (solo a través de un relevo).
Fuentes:
https://www.welivesecurity.com/la-es/2019/01/11/divulgan-herramienta-programar-campanas-phishing-logra-evadir-doble-factor-autenticacion/
https://github.com/drk1wi/Modlishka
https://blog.duszynski.eu/phishing-ng-bypassing-2fa-with-modlishka/
https://securityhacklabs.net/articulo/evilginx2-herramienta-para-ataques-mitm-que-permite-evadir-incluso-autenticacion-de-dos-factores
https://breakdev.org/evilginx-2-next-generation-of-phishing-2fa-tokens/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.