El presente artículo es la última entrega dedicada a phishing en Flu Project. Hoy se presenta el concepto de DNS Spoofing, con el cual un atacante podría llevarnos a un sitio web totalmente falso y con oscuras intenciones (uhhh).
Según la Wikipedia, Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación “Nombre de dominio-IP” ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el caché DNS de otro servidor diferente (DNS Poisoning).
Para realizar la prueba de concepto se utilizará la distribución BackTrack, junto a Ettercap y el uso de sus filtros. Por otro lado, se utilizará un programa en C, el cual se encargará de realizar los cambios pertinentes en las peticiones DNS.
Escenario
Usaremos la máquina de BackTrack para realizar un MiTM sobre un equipo, que será el de la víctima, con el que consigamos que el tráfico pase por esta máquina. La máquina de BackTrack actuará como enrutador y a la vez como servidor DNS. Es decir, las peticiones de resolución de nombres que haga el equipo de la víctima a su servidor DNS configurado pasarán en primer lugar por nuestra máquina (ya que sin que la víctima lo sepa, gracias a MiTM somos ‘su router’). Cuando estas peticiones pasen por nosotros, en la respuesta, se modificará el valor dado, por lo que la víctima recibirá una respuesta de ‘su DNS’ con una IP falseada. Por lo que al resolver, por ejemplo,www.gmail.com se le habrá pasado una IP que no corresponde con ese sitio web.¿Entonces de quién es esa IP? La IP es del atacante, quién tendrá en esa IP un servidor web montado y con una página falsa. Por ejemplo, pueden realizar un robo de credenciales de manera muy sencilla, ya que nos han dado ‘gato por liebre’. ¿Y si me redirigen a un sitio web el cual me pide que ejecute un Applet de Java y explotan una vulnerabilidad? Este caso lo vimos en el tercer artículo de la serie dónde se realizaba la explotación del UAC, pero la conexión reversa había sido creada a través de un sitio web falso que nos creaba la conexión con Metasploit.
POC, manos a la obra
En primer lugar, se explica el filtro y el programa en C que se proponen aquí para el correcto funcionamiento de este tipo de ataque.
etter.dns: en este fichero, que se encuentra en la ruta /usr/share/ettercap, se almacena los registros del ‘DNS’ que utilizará ettercap. Es decir, cuando la víctima haga una petición a un sitio web, por ejemplo, www.tuenti.com, ettercap mirará su registro a ver si se encuentra en su registro. De este modo, el atacante puede controlar, para que no se sospeche mucho, cual es el dominio que quiere suplantar. Lo que no sería lógico es poner una entrada en etter.dns que fuera ‘* A <ip>’. Esto significaría que a cualquier petición que la víctima realizase, a todas la suplantaríamos. Un ejemplo de lo que el atacante pondría en este fichero sería, seguimos con el ejemplo del tuenti, ‘www.tuenti.com A <ip>’.
dnsSpoof.filter: el código no necesita mucha explicación, el filtro llamará al programa Change cuando la IP no haya sido cambiada. Por lo que dónde se observan las elipses rojas el atacante cambiará esa IP por su IP. La víctima recibirá la resolución de nombres con la IP indicada en el filtro.
Para compilar este archivo (los filtros compilados tienen extensión .ef) se debe ejecutar la siguiente orden ‘etterfilter <dnsSpoof.filter> -o <dnsSpoof.ef>’.
Changehost.c: este fichero realizará el cambio de host, cuando sea llamado por dnsSpoof.filter. Simplementa para compilarlo se debe ejecutar la siguiente orden ‘gcc changehost.c –o change’.
Una vez que se tiene todo el material preparado se debe arrancar ettercap y realizar la técnica MiTM para que todo el tráfico de la víctima pase por el equipo del atacante. En primer lugar Sniff -> Unified Sniffing; eligiendo la interfaz de red que tenemos activa; Hosts -> Scan for hosts; realiza un escaneo sobre el segmento de red para encontrar dispositivos; Targets -> Current Targets; se eligen los ‘target’ u objetivos, en este caso se seleccionará como objetivo 1 a la víctima y como objetivo 2 al router o puerta de enlace de la red; MiTM -> Arp Poisoning; para realizar el envenenamiento sobre el grupo target1 y grupo target2.
Si se comprueba la tabla ARP de la víctima se puede observar como la MAC de la puerta de enlace ha cambiado. Ahora se cargará el plugin mediante plugins -> manage the plugins, para habilitar el ‘Dns Spoof’. Por último en el apartado de Filters, se cargará el filtro que se compiló anteriormente.
Resultado
Con esto el atacante habrá envenenado a la víctima para que todo su tráfico circule a través del atacante. Cuando la víctima realice peticiones de resolución de nombres se devolverá a éste una dirección IP que no será la auténtica, por la que se puede devolver una IP en la que apunte a un servidor web con una web falsa.
Video explicativo: SecurityTube
Fuente: FluProject