El documento describe dos ataques cibernéticos: 1) Un ataque de suplantación de DNS (DNS spoofing) que direcciona el tráfico de un sitio web legítimo a una página clonada controlada por un atacante, permitiendo robar credenciales de usuario. 2) Un ataque de troyano que instala malware en un sistema remoto, dando al atacante control completo, incluido el acceso a información del sistema y la capacidad de apagar la máquina de la víctima de forma remota.
3. Ataque DNS Spoofing
Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas
de suplantación de identidad generalmente con usos maliciosos o de
investigación.
Se pueden clasificar los ataques de spoofing, en función de la tecnología
utilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP
spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se
puede englobar dentro de spoofing cualquier tecnología de red susceptible de
sufrir suplantaciones de identidad.
El DNS Spoofing ó Suplantación de identidad por nombre de dominio. Se trata
del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de
resolución de nombre, es decir, resolver con una dirección IP falsa un cierto
nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación
Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del
servidor en concreto o por su confianza hacia servidores poco fiables. Las
entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar)
el cache DNS de otro servidor diferente (DNS Poisoning). A continuación
veremos como realizar un ataque de este tipo.
4. Ataque DNS Spoofing
Lo primero que realizamos es la verificación de la IP de nuestra maquina
Kali-linux, la cual va ser nuestro atacante.
5. Ataque DNS Spoofing
Luego abriremos el archivo etter.dns, en el cual estableceremos el
sitio que direccionaremos a la IP de nuestra maquina atacante, una
vez se halla clonado dicho sitio web, para ello utilizaremos el
comando que nos muestra la imagen siguiente:
6. Ataque DNS Spoofing
Una vez abierto el archivo etter.dns, escribimos las lineas que indican
el direccionamiento que tendrá cuando se accede al sitio web
faccebook.com, tal como se muestra en la imagen siguiente:
7. Ataque DNS Spoofing
En este punto clonaremos el sitio web facebook.com, para ello
usaremos la herramienta Social Enginner Toolkit, y lo primero que
seleccionaremos es la opción 1 del menú que se nos muestra en la
imagen siguiente:
8. Ataque DNS Spoofing
Luego seleccionamos la Opción 2 en el menú que se nos visualiza a
continuación:
9. Ataque DNS Spoofing
Esta vez seleccionaremos la opción 3 del menú que se despliega a
continuación:
10. Ataque DNS Spoofing
Nuevamente seleccionaremos la opción 2 del menú que esta vez se
presenta en la siguiente imagen:
11. Ataque DNS Spoofing
En esta parte de la clonación se especifica la IP del atacante a donde
se redireccionará a la victima cuando intente acceder a
facebook.com, tal como lo muestra la siguiente imagen:
12. Ataque DNS Spoofing
En esta imagen se muestra el siguiente paso de la clonación, esta vez
se escribe la url del sitio que se va a clonar, es cual es
www.facebook.com:
13. Ataque DNS Spoofing
Una vez ejecutamos la clonación del sitio web a suplantar, nos
muestra el resultado y nos pide iniciar el servidor apache que
permitirá mostrar el sitio clonado:
14. Ataque DNS Spoofing
Para probar que el sitio web fue clonado perfectamente, escribiremos
la IP de nuestra maquina atacante en el navegador y nos muestra el
siguiente resultado:
15. Ataque DNS Spoofing
Ahora sólo ejecutaremos la herramienta ettercap, quien lanzará el
ataque, para ello escribiremos la línea que nos muestra la imagen a
continuación en la consola de comando:
16. Ataque DNS Spoofing
Una vez ejecutado ettercap nos muestra como lo evidencia la imagen
a continuación, que se ha activado el ataque DNS Spoofing:
17. Ataque DNS Spoofing
A continuación entramos a nuestro navegador y digitamos
facebook.com, luego digitamos nuestros datos, en este caso digité
usuario: jaider, password: jaider, asi como se muestra en la siguiente
imagen:
18. Ataque DNS Spoofing
Revisando la consola donde se ejecuta nuestro ataque, nos damos
cuenta que éste nos muestra los datos digitados:
20. Ataque Troyano.
Lo primero que haremos es instalar dos máquinas virtuales con
Windows XP y configurarlas en el mismo segmento de red para poder
ejecutar el ataque:
21. Ataque Troyano.
Ubicamos la ruta donde se encuentra el troyano Optix Pro, y
ejecutamos el servidor (Archivo Builder) para crear el troyano que
vamos a ejecutar en la maquina victima :
22. Ataque Troyano.
Aceptamos el acuerdo legal para el uso del software escribiendo las
letras xMs, tal como lo muestra la siguiente imagen:
24. Ataque Troyano.
En la ventana de administración y creación de nuestro troyano, lo
primero que debemos hacer es darle un nombre al mismo, escribir el
puerto por donde se ejecutará y configurar una contraseña para
acceder desde el cliente, esto lo veremos más adelante:
25. Ataque Troyano.
Seleccionamos un icono para nuestro archivo, con el fin de hacerlo
familiar para la victima, en este caso escogimos el icono de WinZip:
26. Ataque Troyano.
Luego entramos al menú Startup & Installation y en la sección startup
escribimos un nombre para nuestro troyano y seleccionamos en que
SO se ejecutará, en este caso sólo Windows XP:
27. Ataque Troyano.
En la sección FileSetup escribimos igualmente un nombre para
nuestro archivo atacante y seleccionamos el directorio desde donde
se ejecutará:
28. Ataque Troyano.
En el menú notifications, configuraremos una notificación tipo SMTP,
con los datos de la cuenta de correo del atacante, esto cuando se usa
el troyano para conseguir información, en esta caso se configura el
servidor, el puerto smtp y la cuenta de correo, tal como se muestra a
continuación:
30. Ataque Troyano.
Luego en el menú Firewall & AVS Evation, configuramos la evasión del
cortafuegos y antivirus por parte de nuestro troyano, en esa misma
ventana configuramos un ataque especifico en la ejecución del
mismo, el cual es deshabilitar el funcionamiento del Windows Media
Player, tal como lo vemos en las siguientes imagenes:
31. Ataque Troyano.
Finalmente construimos el troyano a través de la opción Build/Create
Server y lo guardamos en el disco duro de nuestro PC:
32. Ataque Troyano.
Una vez guardado nuestro troyano, lo copiamos en la maquina
victima para poder ejecutarlo, para efectos de la práctica lo haremos
a través de la red, tal como lo muestra la imagen a continuación:
33. Ataque Troyano.
Ejecutamos el archivo y revisamos nuestro administrador de tareas,
para verificar que en los procesos esté corriendo nuestro troyano, al
que denominados Practica_UNAD, tal como lo evidencian las
siguientes imagenes:
34. Ataque Troyano.
Ahora ejecutaremos el Cliente en la maquina Atacante para poder
acceder al troyano y tener el control de la maquina victima, las
imágenes muestran la instalación del cliente:
35. Ataque Troyano.
En esta parte de la presentación observamos el cliente en ejecución,
para acceder a la maquina victima y tener el control de nuestro
troyano es necesario especificar la IP de la maquina victima, escribir
el puerto y la contraseña, el cual configuramos con el servidor para la
ejecución de dicho troyano, la imagen a continuación visualiza lo
pertinente:
36. Ataque Troyano.
En esta parte de la presentación observamos el resultado de la acción
especifica que configuramos para el Windows media player, el cual no
intentará abrirse pero se cerrará automáticamente:
37. Ataque Troyano.
En la siguiente imagen se observa como tenemos acceso
remotamente a la maquina de nuestra victima, para ingresar solo
hacemos click en la opcion PC Manipulation y usamos la opción
Remote Screen Capture e iniciamos, tal como lo muestra la siguiente
imagen:
38. Ataque Troyano.
Una segunda opción que probamos es fastidiar a la victima,
enviándole mensajes alertando que la maquina ha sido hackeada por
ejemplo:
39. Ataque Troyano.
La tercera opción que probamos es tener acceso a la información de
la maquina tal como lo evidencia la siguiente imagen:
40. Ataque Troyano.
La cuarta opción que se probó es a través de la herramienta
keylogger, tal como lo muestra la siguiente imagen:
41. Ataque Troyano.
Por último apagamos la maquina victima desde la maquina atacante,
usando la opción shutdown que se encuentra en el submenú Power
Options, menú Server Options, así como lo evidencia la siguiente
imagen:
42. Fuentes
http://es.wikipedia.org/wiki/Spoofing
http://www.welivesecurity.com/la-es/2012/06/18/dns-spoofing/
http://kalilinuxspain.blogspot.com/2013/04/dns-spoof-con-ettercap-en-kali-linux.
html
https://www.youtube.com/watch?v=JdGp0ZcTPyU (ataque DNS SPOOFING: ROBAR
CONTRASEÑAS)
http://lahackcueva.wordpress.com/category/kali-linux/
http://lahackcueva.wordpress.com/2013/12/04/dns-spoofing-clone-site-attack/
http://www.taringa.net/posts/info/2878035/Trojan-Optix-Pro-1-3.html
http://computerwworld.blogspot.com/2011/04/remote-administration-toolstrojans.
html