Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Phishing evadiendo segundo factor de autenticación 2FA




El investigador en seguridad polaco, llamado Piotr Duszyński, desarrolló una nueva herramienta para pruebas de penetración llamada Modlishka y que según sus propias palabras “permite llevar las campañas de phishing a un nivel superior y con mínimo esfuerzo”.  La herramienta puede ser utilizada para suplantar incluso sitios web populares como Yahoo o Gmail. Para el autor de la herramienta la única medida realmente efectiva es la utilización de llaves físicas (hardware) Fido - U2F para usar e manera segura  el doble factor de autenticación 2FA. No es la primera herramienta capaz de saltar doble factor 2FA ya que Evilginx2 es una buena prueba de ello.





Modlishka es una herramienta de proxy inverso escrita en en lenguaje de programación "Go". El software refuerza el hecho de que la ingeniería social es una amenaza seria y no puede ser tratada a la ligera.



En la página a continuación, describiré brevemente cómo se puede utilizar esta herramienta para omitir la mayoría de los esquemas de autenticación 2FA utilizados actualmente.




Características Modlishka


Algunas de las principales funcionalidades que ofrece esta herramienta de proxy inverso, son: soporte para la mayoría de los esquemas de doble factor de autenticación; la solo necesidad de indicar a Modlishka cuál es el dominio apuntado para que automáticamente sea manipulado sin necesidad de templates de sitios web; control absoluto del flujo de tráfico TLS de origen que pasa por el navegador de la víctima; posibilidad de configurar de manera sencilla posibles escenarios de phishing a través de las opciones de configuración; remoción de los sitios web todo cifrado y headers de seguridad; recolección de credenciales de usuarios, entre otras funcionalidades más.

  • Support for majority of 2FA authentication schemes (by design).
  • No website templates (just point Modlishka to the target domain - in most cases, it will be handled automatically).
  • Full control of "cross" origin TLS traffic flow from your victims browsers.
  • Flexible and easily configurable phishing scenarios through configuration options.
  • Pattern based JavaScript payload injection.
  • Striping website from all encryption and security headers (back to 90's MITM style).
  • User credential harvesting (with context based on URL parameter passed identifiers).
  • Can be extended with your ideas through plugins.
  • Stateless design. Can be scaled up easily for an arbitrary number of users - ex. through a DNS load balancer.
  • Web panel with a summary of collected credentials and user session impersonation (beta).
  • Written in Go.

Recientemente hubo muchos rumores sobre este tema en Internet, a pesar de que esta técnica ha existido y se ha explotado durante bastante tiempo.

Introducción de "Modlishka"


A lo largo de muchos años de experiencia en pruebas de penetración, se ha encontrado que la "ingeniería social" es la forma más fácil y efectiva de ingresar a la red interna de un cliente.  muchos grupos de APT piensan lo mismo ... Esto es todo porque uno definitivamente no necesita quemar un exploit de 0 días para todas esas sofisticadas defensas de seguridad de primera categoría que están protegiendo el perímetro, cuando a menudo son pocos los correos electrónicos o Las llamadas telefónicas funcionarán perfectamente para comprometer la infraestructura interna y los datos confidenciales de las empresas.

Modlishka fue escrito con el objetivo de hacer que el segundo enfoque (campañas de phishing) sea lo más efectivo posible.

Esta herramienta debería ser muy útil para todos los evaluadores de penetración, que desean llevar a cabo una campaña de phishing efectiva (también como parte de sus compromisos con el equipo rojo).

Eludir 2FA


Nota: Esta será una configuración de ejemplo que se ejecutará localmente en su computadora.

1. Descargar la herramienta

$ go get -u github.com/drk1wi/Modlishka
$  cd $GOPATH/src/github.com/drk1wi/Modlishka/ /

2. Configure el complemento ‘autocert’

Este paso es necesario si desea servir la página a través de un canal TLS de confianza para el navegador:

$ openssl genrsa -out MyRootCA.key 2048`
$ openssl req -x509 -new -nodes -key MyRootCA.key -sha256 -days 1024 -out MyRootCA.pem

Reemplace la variable const CA_CERT con el contenido del archivo MyRootCA.pem y la constante CA_CERT_KEY con el contenido de MyRootCA.key en el archivo ‘plugin / autocert.go’.

Instale y establezca el nivel de confianza adecuado para la CA ‘MyRootCA’ en el almacén de certificados de su navegador y listo.

3. Compilar y lanzar "Modlishka"

$ make
$ sudo ./dist/proxy  -config templates/google.com_gsuite.json

La elección de un servicio de ejemplo se basa exclusivamente en su popularidad y creo que está realmente bien asegurado. Como tal, no estoy tratando de demostrar que no es el caso (especialmente porque la mayoría de los servicios se pueden orientar de manera similar), sino de crear conciencia sobre el riesgo utilizando uno de los servicios más populares como prueba de concepto.




4. Ver la página web en su navegador.

Modlishka en acción contra un esquema de autenticación habilitado 2FA (SMS) de ejemplo:



Ver el vídeo



Phishing with Modlishka (bypass 2FA) from Piotr Duszynski on Vimeo.


https://vimeo.com/308709275

El siguiente enlace se puede usar para ver su página de prueba iniciada. Puede observar cómo el parámetro "ident" está oculto para el usuario en una primera solicitud:

https://loopback.modlishka.io?ident=user_tracking_param.

Las credenciales recopiladas se pueden encontrar en el archivo de "registro" (log)  o a través de uno de los complementos incluidos (esto incluye la suplantación de la sesión, aunque aún en versión beta):




5. Personaliza tu configuración

Si te gusta la herramienta. Puedes comenzar a ajustar la configuración para su dominio elegido. Modlishka se puede personalizar fácilmente a través de un conjunto de opciones de línea de comandos disponibles o archivos de configuración JSON.

Por favor, consulte las páginas wiki para más descripciones de la funcionalidad.




Conclusión

Entonces surge la pregunta ... ¿está roto 2FA?

No, en absoluto, pero con un proxy inverso correcto que se dirige a su dominio a través de un navegador cifrado y confiable, el canal de comunicación realmente puede tener serias dificultades para darse cuenta de que algo está muy mal.

Agregue a la ecuación diferentes errores de navegador, que permiten la suplantación de la barra de URL, y el problema podría ser aún mayor ...

Incluya la falta de conocimiento del usuario y, literalmente, significa entregar sus activos más valiosos a sus adversarios en una placa de plata.

Al final, incluso los sistemas de defensa de seguridad más sofisticados pueden fallar si no hay suficiente conocimiento del usuario y viceversa.

Actualmente, la única forma de abordar este problema, desde una perspectiva técnica, es confiar completamente en los tokens de hardware 2FA, que se basan en el protocolo U2F. Puedes comprarlos fácilmente en línea. Sin embargo, recuerde que el conocimiento correcto del usuario es igual de importante.

Resumiendo, deberías:


  • usar tokens de hardware U2F como su segundo factor de autenticación.
  • usar administradores de contraseñas, que asegurarán que el nombre de dominio en su navegador sea correcto antes de pegar la contraseña.
  • Aumentar constantemente la conciencia de los usuarios sobre las técnicas actuales de ingeniería social.


¿Por qué están lanzando esta herramienta? Creen que sin una prueba de concepto que funcione, eso realmente prueba el punto, el riesgo se trata como teórico y no se toman medidas reales para abordarlo.

Evilginx 2


Es una herramienta para ataques MITM que permite evadir incluso autenticación de dos factores

Evilginx se convierte en un relevo entre el sitio web real y el usuario phishing . El usuario de Phishing interactúa con el sitio web real, mientras que Evilginx captura todos los datos que se transmiten entre las dos partes.

Evilginx, al ser el hombre en el medio, captura no solo nombres de usuario y contraseñas, sino que también captura tokens de autenticación enviados, como cookies. Los tokens de autenticación capturados permiten al atacante eludir cualquier forma de 2FA (autenticación de dos factores) habilitada en la cuenta del usuario (excepto U2F, más información al respecto más adelante).

Incluso si el usuario víctima de phishing tiene 2FA habilitado, el atacante, equipado solo con un dominio y un servidor VPS, puede tomar control remoto de su cuenta . No importa si 2FA está usando códigos de SMS, aplicación de autenticación móvil o claves de recuperación.

Evilginx 2 - Next Generation of Phishing 2FA Tokens from breakdev.org on Vimeo.

Funcionamiento


#Instalación de dependencias
pacman --needed -Syu go dep git

#Descarga de evilginx2
go get -u github.com/kgretzky/evilginx2

#Compilación de evilginx2
cd $HOME/go/src/github.com/kgretzky/evilginx2
make
sudo ./bin/evilginx -p ./phishlets/ 


Después de cada inicio de sesión exitoso, el sitio web genera un token de autenticación para la sesión del usuario. Este token (o tokens múltiples) se envía al navegador web como una cookie y se guarda para su uso futuro. Desde ese punto, cada solicitud enviada desde el navegador al sitio web contendrá ese token de sesión, enviado como una cookie. Así es como los sitios web reconocen a los usuarios autenticados después de una autenticación exitosa. No piden a los usuarios que inicien sesión, cada vez que se vuelve a cargar la página.

Esta cookie de token de sesión es oro puro para el atacante . Si exporta cookies desde su navegador e las importa a un navegador diferente, en una computadora diferente, en un país diferente, estará autorizado y tendrá acceso completo a la cuenta, sin que se le pidan nombres de usuario, contraseñas o tokens 2FA.


Cuando la víctima ingresa las credenciales y se le pide que brinde una respuesta de desafío 2FA, todavía están hablando con el sitio web real, con Evilginx retransmitiendo los paquetes hacia adelante y hacia atrás, sentados en el medio. Incluso mientras es víctima de un ataque de phishing, la víctima seguirá recibiendo el código 2FA SMS en su teléfono móvil, ya que está hablando con el sitio web real (solo a través de un relevo).



Fuentes:
https://www.welivesecurity.com/la-es/2019/01/11/divulgan-herramienta-programar-campanas-phishing-logra-evadir-doble-factor-autenticacion/
https://github.com/drk1wi/Modlishka
https://blog.duszynski.eu/phishing-ng-bypassing-2fa-with-modlishka/
https://securityhacklabs.net/articulo/evilginx2-herramienta-para-ataques-mitm-que-permite-evadir-incluso-autenticacion-de-dos-factores
https://breakdev.org/evilginx-2-next-generation-of-phishing-2fa-tokens/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.