Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
-
▼
diciembre
(Total:
103
)
- Tecnología de Intel permite actualizar la BIOS de ...
- La Universidad de Kioto en Japón pierde 77TB de da...
- Redline Stealer es un malware que roba las contras...
- ¿Qué es un dropper? (Malware)
- Fundador de Signal asegura que Telegram es incluso...
- Diferencias entre el cifrado BitLocker y EFS en Wi...
- Mejores programas para reparar, recuperar y ver in...
- TWRP Recovery para teléfonos Android
- Herramientas para realizar ataques Man‑in‑the‑Midd...
- Vulnerabilidad en Azure App Service expone reposit...
- Las 20 mejores herramientas de Hacking de 2021
- Procesadores Intel 12th Alder Lake para el chipset...
- Alertan de una importante Campaña Phishing vía SMS...
- Extensiones Visual Studio Code para programar en ...
- ¿Qué es una APU (CPU + GPU) y un SoC?
- Crean un algoritmo capaz de adivinar el 41% de las...
- DuckDuckGo, la alternativa al buscador Google basa...
- Instalar MacOS Big Sur en una máquina Virtual con ...
- Editores de imágenes de vídeo gratuitos y de códig...
- Desinstalar todas las aplicaciones no deseadas que...
- Reparar tarjeta memoria SD dañada o estropeada
- Instalar aplicaciones Android en Windows 11: WSATo...
- Hackean servidores HP con CPUs AMD EPYC para minar...
- Logrotate: administra los registros (logs) de tu s...
- Las mejores shells para GNU/Linux
- Glosario términos en Linux: vocabulario básico
- Windows 10 versión 21H2 añade protecciones mejorad...
- Instalar varios sistemas operativos autoarrancable...
- Vulnerabilidad test de antígenos permite falsifica...
- Actualización de seguridad importante servidor web...
- Graves vulnerabilidades plugin SEO instalado en má...
- Vulnerabilidades Directorio Activo permiten hackea...
- Ministerio de Defensa de Bélgica es el primer país...
- La memoria DDR5 es apenas un 3% más rápida que la ...
- Actualizaciones de Windows 11 solucionan problemas...
- Disponible distro Hacking WiFi Wifislax de origen ...
- DuckDuckGo prepara navegador web que protegerá la ...
- Amazon patenta una red de cámaras que reconcen a p...
- Los mitos más comunes en ciberseguridad
- Hospital de Asturias (España) afectado por un ataq...
- Cable USB llamado BusKill permite borrar automátic...
- El hackeo con Pegasus para iPhone es uno de los at...
- Resumen de todas las vulnerabilidades de Log4j
- Instalación LineageOS en teléfonos Android
- Gestores de Contraseñas para Android
- Guía SysAdmin para SELinux
- Los mejores gestores de contraseñas gratuitos
- Configurar servidor DLNA para reproducir música y ...
- Instalar Kali Linux en tu teléfono móvil con NetHu...
- pfetch, screenfetch o neofetch : mostrar informaci...
- La estafa del supuesto familiar con la ‘maleta ret...
- Microsoft y Dell prepararan portátiles más reparables
- Contenedores en Firefox para mejorar privacidad al...
- Windows Terminal será la línea de comandos por def...
- Identificada una segunda vulnerabilidad en Log4j q...
- Protocolo WebDav permite conectar unidad de red re...
- Apple publica Tracker Detect para evitar que los u...
- Volvo Cars informa una brecha de seguridad
- Consejos de Seguridad para servidores Linux
- Vulnerabilidad en millones chips de WiFi y Bluetoo...
- Ataque de ransomware Lapsus al Ministerio de Salud...
- Configurar una VPN con Wireguard
- Distribuciones Linux para portátiles antiguos con ...
- Juegos retro para teléfonos móviles Androd e iPhone
- Solucionada vulnerabilidad de seguridad de Western...
- Ladrones de coches están utilizando AirTags de App...
- Cómo activar la autenticación en dos pasos en Goog...
- Detenida en España por estafar al Athletic de Bilb...
- ALPHV BlackCat es el ransomware más sofisticado de...
- Google permitirá ejecutar juegos de Android en Win...
- Google y Microsoft trabajan juntos para mejorar el...
- Vulnerabilidad crítica en Apache Log4j bautizada c...
- Nueva oferta de Microsoft 365 para los usuarios pi...
- Nueva versión de Kali Linux 2021.4 que mejora el s...
- Evitar que tus mails rastreen tus datos personales...
- Cómo configurar la privacidad y seguridad en Signal
- Google demanda a 2 rusos responsables de la botnet...
- Bots se hacen pasar por personal de Twitter para r...
- Importante vulnerabilidad en Grafana: actualizació...
- Descubiertos instaladores KMSPico para activar Win...
- Eltima SDK contiene hasta 27 múltiples vulnerabili...
- Mozilla publica Firefox 95 con mejoras destacadas ...
- Cómo migrar CentOS 8 a Rocky Linux 8, AlmaLinux 8 ...
- Freesync y G-Sync: tecnologías para monitores gami...
- Ansible permite automatizar tareas en distintos se...
- Syncthing es una herramienta gratuita multiplatafo...
- Curiosidades sobre el nuevo CEO de Twitter: 11.000...
- Filtros en Linux: pipes, tuberías: cut, sort, uniq...
- El auge del negocio de los ciberataques de denegac...
- ¿Qué son los (IoC) Indicadores de Compromiso?
- Teléfonos iPhone de empleados del Departamento de ...
- Mejores sistemas de rescate para recuperar fichero...
- Ciberataque denegación de servicio distribuido DDo...
- Hasta 9 routers de marcas muy conocidas acumulan u...
- Plantillas y archivos RTF de phishing contienen ma...
- Nvidia reedita la RTX 2060, ahora con 12 GB de RAM...
- Nueva versión IPFire mejora el rendimiento IPS e i...
- El perro robótico de Xiaomi usa Ubuntu de sistema ...
- WiFi 7 tendrá doble de velocidad (hasta 46 Gbps) y...
- Vulnerabilidad en impresoras HP tras 8 años afecta...
- ► septiembre (Total: 56 )
-
▼
diciembre
(Total:
103
)
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
Herramientas para realizar ataques Man‑in‑the‑Middle (MITM)
Man-in-the-Middle (MitM), que en español significa “hombre en el medio”, es un tipo de ataque destinado a interceptar, sin autorización, la comunicación entre dos dispositivos (hosts) conectados a una red. Este ataque le permite a un agente malintencionado manipular el tráfico interceptado de diferentes formas, ya sea para escuchar la comunicación y obtener información sensible, como credenciales de acceso, información financiera, etc., o para suplantar la identidad de alguna de las partes
Para que un ataque MitM funcione correctamente, el delincuente debe asegurarse que será el único punto de comunicación entre los dos dispositivos, es decir, el delincuente debe estar presente en la misma red que los hosts apuntados en el ataque para cambiar la tabla de enrutamiento ARP para cada uno de ellos.
Aunque alterar la tabla de enrutamiento es infinitamente más simple cuando se realiza en la misma red, técnicamente sería posible secuestrar los routers de los proveedores de Internet y alterar arbitrariamente sus tablas de enrutamiento, pero la complejidad de este tipo de ataque es incomparablemente mayor. Por tanto, todos los ejemplos que citaré en este artículo estarán relacionados con el ataque desde dentro de la red.
Tipos de ataques man-in-the-middle
- Ataques basados en servidores DHCP
- ARP cache poisoning
- Ataques basados en servidores DNS
- Simulación de un punto de acceso inalámbrico
- Ataque Man in the Browser
Tipos de ataques man-in-the-middle
Ya hemos visto cómo proceden los atacantes a realizar un ataque man in the middle. Pero veamos más en profundidad qué tipos de ataques existen y en qué consiste cada uno de estos métodos.
Ataques basados en servidores DHCP
Los atacantes utilizan su ordenador como si fuera un servidor DHCP en una red local. Estos servidores sirven para asignar direcciones IP y realizar la configuración de los dispositivos que forman parte de una red, para que se puedan comunicar con otras redes. Mediante un DHCP simulado, los hackers pueden controlar las direcciones IP locales para desviar e interceptar el tráfico saliente.
ARP cache poisoning
El protocolo ARP tiene como función resolver IPs en redes LAN. Para proceder al envenenamiento de caché ARP, el hacker necesita conocer el sistema del destinatario. Al hacer una petición ARP se envía tanto la IP como la dirección MAC del equipo que realiza la solicitud, así como la IP del equipo de destino. Mediante el ARP cache poisoning, se busca dar respuestas falsas en estas peticiones, para que el usuario use el ordenador del hacker como punto de acceso a internet y así poder interceptar los datos salientes de los ordenadores de las víctimas.
Ataques basados en servidores DNS
En este tipo de ataques los ciberdelincuentes manipulan el caché de servidores DNS con el objetivo de dar direcciones falsas. Generalmente, estos ataques se centran en servidores que utilizan versiones del software DNS muy antiguas, ya que son más vulnerables. Además, en caso de lograr acceso a estos servidores, será mucho más sencillo enviar registros falsos y envenenar su caché.
Simulación de un punto de acceso inalámbrico
Este tipo de ataque man in the middle por WiFi está dirigido principalmente a los usuarios de los teléfonos móviles. El hacker crea un punto de acceso inalámbrico en una red pública, por ejemplo en una biblioteca o cafetería. El objetivo es hacer que el equipo del atacante funcione como un punto de acceso inalámbrico a internet, para que los usuarios se conecten a él a través de sus dispositivos móviles y así hacer de intermediario entre los usuarios y la red pública.
Ejemplo Ejecución del ataque ARP
- El atacante hace uso de la herramienta de ARP Spoofing y escanea las direcciones MAC e IP de los hosts de la subred del objetivo.
- El atacante elige su destino y comienza a enviar paquetes ARP través de la LAN. Estos paquetes contienen la dirección MAC del atacante y la dirección IP de la víctima con el fin de que la arp cache de los equipos establezca la relación de esa MAC con esa dirección ip.
- Si el atacante logró vincular su dirección MAC a una dirección IP auténtica, va a empezar a recibir cualquier dato que se puede acceder mediante la dirección IP. A partir de aquí, el atacante puede robar datos o lanzar un ataque más sofisticado.
Como sucede en la mayoría de los ataques, incluso si el delincuente no tiene un profundo conocimiento sobre lo que va a ejecutar, podrá llevarlo a cabo, aunque sea de forma mecánica. Y en el caso de los ataques de Man-in-the-Middle no es diferente: siguiendo algunas instrucciones que se encuentran fácilmente en Internet, es posible reproducir este tipo de ataque. Por eso es tan importante tomar siempre medidas de protección.
Para comprender cómo funciona el ataque, veamos la imagen a continuación. En la misma se puede apreciar la tabla de enrutamiento presente en la computadora de la víctima, aún sin cambios.
Cada una de las entradas de la tabla ARP tiene una dirección única, como puede observarse en la numeración final presente en cada una de ellas.
Como hemos dicho anteriormente, cuando se está ejecutando un ataque MitM, el delincuente se hace pasar por la dirección de destino de la víctima, que suele ser un router o alguna otra dirección que sea la puerta de entrada a esa red. Vale la pena mencionar que los ataques en los que se hacen pasar por la dirección de destino de la víctima representan uno de los tantos tipos de ataques de MitM. Dicho esto, existen algunas herramientas que pueden realizar este tipo de ataque. En el caso de nuestro ejemplo, el ataque realizado fue de envenenamiento de ARP, también conocido como ARP spoofing o envenenamiento de tablas ARP. El ARP, o Adress Resolultion Protocol, es un protocolo de resolución de dirección que se utiliza en la comunicación entre direcciones IP y la dirección física de un equipo, más conocida como dirección MAC.
El software utilizado para automatizar este ataque fue Ettercap a través de la línea de comandos. Sin embargo, el software también tiene una interfaz gráfica muy intuitiva y fácil de usar. Después de ejecutar el comando, la víctima cree que el atacante es la puerta de enlace y comienza a enviarle todas sus solicitudes.
Como la visualización que ofrece Ettercap tiene una estructura muy difícil de interpretar, es posible utilizar analizadores de red más robustos como Wireshark o BetterCap para monitorear la interfaz de red que está recibiendo este tráfico y tratarlo o guardarlo para realizar un análisis posterior.
Herramientas MITM (Man In The Midle)
- Dnsspoof: DNS spoofer. Elimina las respuestas de DNS del enrutador y lo reemplaza con la respuesta de DNS falsificada.
- Ettercap: Una suite completa para hombres en medio de ataques. Cuenta con olfateo de conexiones en vivo, filtrado de contenido sobre la marcha y muchos otros trucos interesantes. Es compatible con la disección activa y pasiva de muchos protocolos e incluye muchas características para el análisis de red y host.
- Bettercap: Una herramienta potente, flexible y portátil creada para realizar diversos tipos de ataques MITM contra una red, manipular el tráfico HTTP, HTTPS y TCP en tiempo real, buscar credenciales y mucho más.
- Mallory: Un hombre extensible de TCP / UDP en el proxy intermedio que está diseñado para ejecutarse como una puerta de enlace. A diferencia de otras herramientas de este tipo, Mallory admite la modificación de protocolos no estándares sobre la marcha.
- MITMf: Framework para ataques Man-In-The-Middle.
- Mitmproxy: Un proxy hombre-en-el-medio interactivo con capacidad para SSL para HTTP con una interfaz de consola.
- Mitmsocks4j: El hombre en el medio SOCKS Proxy para JAVA.
- Nogotofail: Una herramienta de prueba de seguridad de tráfico de red blackbox en ruta.
- Responde: Un envenenador LLMNR, NBT-NS y MDNS, con servidor de autenticación rogue HTTP/SMB/MSSQL/FTP/LDAP incorporado compatible con NTLMv1 / NTLMv2 / LMv2, NTLMSSP de seguridad extendida y autenticación HTTP básica.
- Ssh-mitm: Una herramienta de hombre en el medio SSH / SFTP que registra sesiones interactivas y contraseñas.
MITMf (Man In The Middle Framework)
"Mitmf.py -i <interfaz> – -spoof – -hsts – -arp – -dns – -gateway <puertaenlace> – -target <IP>"
Hetty
Características principales
- Le permite realizar una búsqueda de texto completo
- Tiene un módulo de remitente que le permite enviar solicitudes HTTP manualmente en función de las solicitudes fuera del registro del proxy o al crearlas desde cero.
- Un módulo de atacante que le permite enviar solicitudes HTTP automáticamente
- Instalación simple e interfaz fácil de usar
- Envíe manualmente las solicitudes HTTP comenzando desde cero, elaborando la solicitud o simplemente copiándola desde el registro de proxy.
Bettercap es una herramienta de reconocimiento y ataque de red completa y escalable.
La solución fácil de usar proporciona a expertos en seguridad y equipos red team todas las funciones para probar o atacar redes Wi-Fi, IP4, IP6, dispositivos Bluetooth de baja energía (BLE) y dispositivos HID inalámbricos. Además, la herramienta tiene capacidades de monitoreo de red y otras características como creación de puntos de acceso falsos, rastreador de contraseñas, suplantación de DNS, captura de protocolo de enlace, etc.
Características principales
- Un potente rastreador de red incorporado para identificar datos de autenticación y recopilar credenciales
- potente, extensible
- Sondea y prueba de forma activa y pasiva los hosts de la red IP en busca de posibles vulnerabilidades MITM.
- Interfaz de usuario basada en web fácil de usar e interactiva que le permite realizar una amplia gama de ataques MITM, rastrear credenciales, controlar el tráfico HTTP y HTTP, etc.
- Extrae todos los datos que recopila como POP, IMAP, SMTPy credenciales FTP, URL visitadas y hosts HTTPS, cookies HTTP, datos publicados HTTP y más. Luego lo presenta en un archivo externo.
- Manipule o modifique el tráfico TCP, HTTP y HTTPS en tiempo real.
Proxy.py
Características principales
- Es una herramienta rápida y escalable que puede manejar decenas de miles de conexiones por segundo.
- Funciones programables como un servidor web integrado, proxy y personalización de enrutamiento HTTP, etc.
- Tiene un diseño liviano que usa 5-20 MB de RAM. Además, se basa en las bibliotecas estándar de Python y no requiere ninguna dependencia externa.
- Un panel personalizable en tiempo real que puede ampliar mediante complementos. También le da la opción de inspeccionar, monitorear, configurar y controlar el proxy.py en tiempo de ejecución.
- La herramienta segura utiliza TLS para proporcionar un cifrado de un extremo a otro entre el proxy.py y el cliente.
Mitmproxy
Los mitmproxy es una solución de proxy HTTPS de código abierto y fácil de usar.
Generalmente, la herramienta fácil de instalar funciona como un proxy HTTP de intermediario SSL y tiene una interfaz de consola que le permite inspeccionar y modificar el flujo de tráfico sobre la marcha. Puede utilizar la herramienta basada en la línea de comandos como un proxy HTTP o HTTPS para registrar todo el tráfico de la red, ver lo que solicitan los usuarios y reproducirlos. Por lo general, mitmproxy se refiere a un conjunto de tres herramientas poderosas; mitmproxy (interfaz de consola), mitmweb (interfaz basada en web) y mitmdump (versión de línea de comandos).
Burp Suite
Características principales
- Interceptar e inspeccionar el tráfico de red sin procesar en ambas direcciones entre el navegador web y el servidor
- Rompe la conexión TLS en el tráfico HTTPS entre el navegador y el servidor de destino, lo que permite al atacante ver y modificar datos cifrados.
- Opción de utilizar el navegador integrado Burps o el navegador web estándar externo
- Solución de escaneo de vulnerabilidades automatizada, rápida y escalable, le permite escanear y probar aplicaciones web de manera más rápida y eficiente, identificando así una amplia gama de vulnerabilidades
- Mostrar solicitudes y respuestas HTTP individuales interceptadas
- Revise manualmente el tráfico interceptado para comprender los detalles de un ataque.
Burp es una herramienta automatizada y escalable herramienta de escaneo de vulnerabilidades. La herramienta es una buena opción para muchos profesionales de la seguridad. Generalmente, permite a los investigadores probar aplicaciones web e identificar vulnerabilidades que los delincuentes pueden explotar y lanzar ataques MITM.
Utiliza un flujo de trabajo dirigido por el usuario para proporcionar una vista directa de la aplicación de destino y cómo funciona. Al operar como un servidor proxy web, Burp se sienta como el intermediario entre el navegador web y los servidores de destino. En consecuencia, esto le permite interceptar, analizar y modificar el tráfico de solicitudes y respuestas.
Ettercap
Ettercap es un analizador e interceptor de tráfico de red de código abierto.
La completa herramienta de ataques MITM permite a los investigadores diseccionar y analizar una amplia gama de hosts y protocolos de red. También puede registrar los paquetes de red en una LAN y otros entornos. Además, el analizador de tráfico de red multipropósito puede detectar y detener ataques de intermediarios.
Características principales
- Interceptar el tráfico de la red y capturar credenciales como contraseñas. Además, puede descifrar datos cifrados y extraer credenciales como nombres de usuario y contraseñas.
- Adecuado para rastreo profundo de paquetes, pruebas, monitoreo del tráfico de red y filtrado de contenido en tiempo real.
- Admite escuchas, disecciones y análisis activos y pasivos de protocolos de red, incluidos aquellos con cifrado
- Analizar un topología de la red y establecer los sistemas operativos instalados.
- Interfaz gráfica de usuario fácil de usar con opciones de operación de GUI interactivas y no interactivas
- utiliza técnicas de análisis como la interceptación ARP, el filtrado de IP y MAC, y otras para interceptar y analizar el tráfic
Consecuencias de un ataque de Man-in-the-Middle
Ahora que entendemos un poco sobre la estructura del ataque en sí, queda por ver qué pueden hacer los delincuentes cuando llevan a cabo un ataque Man-in-the-Middle.
En el ejemplo que mencioné, la captura de tráfico fue realizada por Ettercap con el fin de analizar paquetes. Sin embargo, Ettercap no es la única solución que ayuda a crear ataques Man-in-the-Middle. Es posible desarrollar amenazas para realizar determinadas acciones dentro del tráfico interceptado o utilizar alguna de las soluciones ya creadas para realizar estas modificaciones. Una de las soluciones desarrolladas para este propósito fue Man-in-the-Middle Framework, o MITMf, que viene con varias funcionalidades instaladas por defecto. Algunas de estas funcionalidades permiten:
- – Realizar capturas de pantalla de lo que observa la víctima cada cierto tiempo;
- – Insertar en la página a la que se accede código en JavaScript creado por el atacante;
- – Ejecutar procesos que intentan abrir tráfico encriptado HTTPS;
- – Insertar un keylogger que capture todo lo que escribe la víctima.
Con esto, las opciones de ataque son prácticamente ilimitadas, y aún es posible utilizar el ataque para dirigir el tráfico a otros frameworks con aún más funcionalidades, como, por ejemplo, BeEF.
Además del enfoque MitM más tradicional que menciono en esta publicación, los delincuentes usan este concepto de interceptar las acciones de las víctimas en varios otros tipos de ataques, como la alteración de la memoria cuando la víctima usa el portapapeles (al copiar y pegar algo), ataques de Man-in-the-Browser (que significa hombre en el navegador) cuando el ciberdelincuente modifica información transmitida directamente por el navegador, por ejemplo, cuando se realiza una compra. Todos estos tipos de ataques tienen un impacto significativo en las víctimas y la mayoría de ellos no muestran signos de que la víctima esté siendo atacada en ese momento, lo que hace que las medidas de protección frente a este tipo de amenazas sean aún más necesarias.
Fuentes:
https://geekflare.com/es/mitm-attack-tools/
https://www.welivesecurity.com/la-es/2021/12/28/que-es-ataque-man-in-the-middle-como-funciona/
https://ciberseguridad.blog/las-mejores-herramientas-hacking/#MITM
https://jaymonsecurity.com/mitm-credenciales-sslstrip-mitmf-delorean/
1 comentarios :
Me parece excelente la información aquí presentada, muy útil como punto de partida para aquellos que nos interesamos en la seguridad de nuestros datos y la seguridad informática, en mi opinión, debería ser un poco más la difusión de estos temas, puesto que en la actualidad la mayoria de las actividades se realizan en línea, lo cual nos ha echo propensos a ataques a nuestra privacidad y nuestros, sin las medidas apropiadas un clic o un tap en un lugar incorrecto y nuestra información puede ser vulnerada
agradezco la información
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.