1. Informatica64 trae a nuestras manos una nueva herramienta muy bien nombrada “Evil
Foca“. Esta nueva herramienta se encuentra todavía en su versión Alpha, lo que implica que
nosotros, los usuarios, somos los Beta Testers de la misma.
Evil Foca se especializa en seguridad sobre redes de datos IPV4/IPV6 y sus principales
herramientas de ataque son:
MITM IPV4 / IPV6
DoS IPV4 / IPV6
DNSHijacking
La GUI mantiene el estilo de “FOCA Free”, y la distribución de las funcionalidades se
torna muchísimo masuserfriendly que la misma por tener menos opciones.
2. Por el momento, no vamos a detenernos en analizar las opciones a nivel usabilidad, sino
que nos vamos a tratar de FOCAlizar en cómo suceden las cosas en el plano funcional.
MITM IPV4
El ataque es fácil de iniciar, solo debemos ingresar desde una lista la IP del Gateway y la IP
de la víctima a la que deseamos atacar:
3. Analizando el tráfico con wireshark, podemos ver que nuestro ataque es todo un éxito ya
que, tanto la máquina víctima como el accesspoint, son informados sobre la nueva
asociación de la MAC address atacante con los respectivos números de IP.
Leemos de forma más humana y amena la siguiente imagen:
1. “IntelCor” (Maquina atacante con MAC BC-77-37-6D-52-A0) envía a “ZyxelCom”
(Access Point) un paquete ARP informando que la IP 192.168.1.34 (IP Victima)
esta en la MAC BC-77-37-6D-52-A0 (MAC Atacante).
2. “IntelCore” envía a “Apple” (Máquina Víctima) un paquete ARP informando que la
IP 192.168.1.1 (IP Access Point) esta en la MAC BC-77-37-6D-52-A0 (MAC
Atacante).
DoS IPV4
Si deseamos hacer un Denial Of Service a un equipo dentro de la red, solo basta con
seleccionar la IP Víctima desde una lista, y seleccionar con qué otra IP de la red no
queremos que se comunique.
4. Analizamos que sucede a nivel comunicaciones para lograr el DoS, y hacemos una vez más
una lectura más humana y amena:
1. “IntelCore” envía a “Apple” (Máquina Víctima) un paquete ARP informando que la
IP 192.168.1.1 (IP Access Point) esta en la MAC FA:BA:DA:FA:BA:DA (MAC
Inexistente).
2. “IntelCor” (Máquina atacante con MAC BC-77-37-6D-52-A0) envía a “ZyxelCom”
(Access Point) un paquete ARP informando que la IP 192.168.1.34 (IP Víctima)
está en la MAC BC-77-37-6D-52-A0 (MAC Atacante).
Como vemos en el punto 1) se le informa a la máquina víctima que la IP del accesspoint se
encuentra asociada a una MAC inexistente. Esto provoca que cada vez que la máquina
víctima quiera comunicarse a través del accesspoint, no va a encontrar el camino para
hacerlo.
DNSHijacking
5. Para hacer un secuestro de DNS solo necesitamos ingresar el dominio que deseamos
suplantar, y la IP (Maligna) asociada a dicho nombre de dominio.
Una vez iniciado el ataque, podemos visualizar en la sección de logs en la parte inferior de
la aplicación las peticiones realizadas a los dominios que hemos listado en el campo
“Domain”.
Y este es el resultado después de varias pruebas:
6. Conclusión:
Evil Foca es una herramienta muy fácil de utilizar para aquellos que no conocen el
funcionamiento de los ataques en su complejidad y desean realizar algún tipo de maldad.
La herramienta es sencilla de entender, es ágil a la hora de iniciar un ataque, encontrar IP’s
en la red, MAC address de los equipos, seleccionar Targets.
La aplicación todavía esta en desarrollo y es por eso quizás que en la fase de ataque la
conexión de la máquina atacante se caía y los ataques muchas veces dejaron de funcionar
sin razón aparente. No obstante, no deja de ser una buena aplicación sencilla de utilizar.
Desde Mkit, seguimos aplicando a la idea de utilizar técnicas manuales para entender el
ataque o la prueba que se está llevando a cabo.
Gustavo NicolasOgawa
Categories: Consejos | Tags: Chema Alonso, DNS Spoof, DNSHijacking, DoS, Evil Foca,
FOCA, IPV4, MITM, tools
No siempre la culpa es toda de los Hackers Black Hats
Hacking Bitcoin: Generar variaciones financieras nunca fue tan fácil
4 Respuestas a “Evil Foca”
1. Roberto dice:
7. 08 de abril de 2013 a las 22:02 hrs.
¿Realiza alguna función como la del sslstrip, o las peticiones https irían cifradas?
¿Alguna manera de protegerse para que no te intercepten tus contraseñas?
Responder
o Gustavo Ogawa dice:
08 de abril de 2013 a las 22:18 hrs.
Roberto,
No tiene implementada la funcionalidad de sslstrip ni nada semejante para
evitar el trafico encriptado.
La forma de disminuir las probabilidades de que las credenciales sean
interceptadas depende mucho de la red donde te encuentres.
Por ejemplo:
En redes publicas: Cualquiera tiene acceso a la red. En este escenario
tenemos que prestar MUCHISIMA atencion con lo siguiente: Comunicacion
cifrada por SSL/TSL o simil (Comprobar que el httpS aparezca en la URL),
hacer un ping (Ya es demasiado paranoico, pero es necesario para disminuir
la probabilidad de ser victima) hacia el dominio al que se quiere acceder
para ver la resolucion de DNS y comprobar que la ip a la que nos dirige el
DNS corresponde con la IP del servidor al cual queremos acceder, esto sirve
para no ser victima del pharming local o phishing inclusive. SIEMPRE
cerrar sesiones al momento de dejar de utilizarlas ya que generalmente, si la
opcion “No cerrar sesionesta activa, la cookie es PERMANENTE”, esto
implica que si alguien captura nuestra cookie, va a tener acceso hasta que
cerremos la sesion.
En redes de hogar: No se debe ser TAN paranoico, y se puede “Delegar” la
seguridad al perimetro por asi decirlo. Se debe utilizar mecanismos de
encriptacion WPA/WPA2 para evitar ser crackeadosfacilmente. De esta
manera, dejamos entrar solo a quien nosotros queremos dejar entrar. (Poner
una contraseña segura)
En otro tipos de redes existen mas opciones, pero son demasiado particulares
como para listarlas en este comentario.
Espero haber respondido a tu pregunta, cualquiero duda que haya quedado,
no es molestia que comentes!
Muchas gracias.
Saludos!
Responder
2. Preoh dice:
8. 22 de abril de 2013 a las 08:54 hrs.
Chino,te pasaste con esta herramienta,la verdad es muy sencilla y practica para otros
usos ademas de lo que seriaattacks.
Siempre sorprendiendo man,un abrazo y saludos.
Responder
o Gustavo Ogawa dice:
25 de abril de 2013 a las 13:22 hrs.
Preoh,
Muchas gracias por tu devolución, es bueno como motivación para seguir
colaborando con la comunidad.
Saludos
Responder
Deja un comentario
Tu dirección de correo electrónico no será publicada. Los campos necesarios están
marcados *
Name *
Email*
Website
Comment