Ataque DNS Spoofing y Troyano.

Seguridad en Base de Datos.

Por:

JAIDER CONTRERAS PUENTES

JESUS DAVID ALVAREZ

.

Temas.

Ataque DNS Spoofing

Ataque Troyano

Ataque DNS SpoofingSpoofing, en términos de seguridad de redes hace referencia al uso de técnicasde suplantación de identidad generalmente con usos maliciosos o deinvestigación.

Se pueden clasificar los ataques de spoofing, en función de la tecnologíautilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARPspoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general sepuede englobar dentro de spoofing cualquier tecnología de red susceptible desufrir suplantaciones de identidad.

El DNS Spoofing ó Suplantación de identidad por nombre de dominio. Se tratadel falseamiento de una relación "Nombre de dominio-IP" ante una consulta deresolución de nombre, es decir, resolver con una dirección IP falsa un ciertonombre DNS o viceversa. Esto se consigue falseando las entradas de la relaciónNombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad delservidor en concreto o por su confianza hacia servidores poco fiables. Lasentradas falseadas de un servidor DNS son susceptibles de infectar (envenenar)el cache DNS de otro servidor diferente (DNS Poisoning). A continuaciónveremos como realizar un ataque de este tipo.

Ataque DNS SpoofingLo primero que realizamos es la verificación de la IP de nuestra maquinaKali-linux, la cual va ser nuestro atacante.

Ataque DNS SpoofingLuego abriremos el archivo etter.dns, en el cual estableceremos elsitio que direccionaremos a la IP de nuestra maquina atacante, unavez se halla clonado dicho sitio web, para ello utilizaremos elcomando que nos muestra la imagen siguiente:

Ataque DNS SpoofingUna vez abierto el archivo etter.dns, escribimos las lineas que indicanel direccionamiento que tendrá cuando se accede al sitio webfaccebook.com, tal como se muestra en la imagen siguiente:

Ataque DNS SpoofingEn este punto clonaremos el sitio web facebook.com, para ellousaremos la herramienta Social Enginner Toolkit, y lo primero queseleccionaremos es la opción 1 del menú que se nos muestra en laimagen siguiente:

Ataque DNS SpoofingLuego seleccionamos la Opción 2 en el menú que se nos visualiza acontinuación:

Ataque DNS SpoofingEsta vez seleccionaremos la opción 3 del menú que se despliega acontinuación:

Ataque DNS SpoofingNuevamente seleccionaremos la opción 2 del menú que esta vez sepresenta en la siguiente imagen:

Ataque DNS SpoofingEn esta parte de la clonación se especifica la IP del atacante a dondese redireccionará a la victima cuando intente acceder afacebook.com, tal como lo muestra la siguiente imagen:

Ataque DNS SpoofingEn esta imagen se muestra el siguiente paso de la clonación, esta vezse escribe la url del sitio que se va a clonar, es cual eswww.facebook.com:

Ataque DNS SpoofingUna vez ejecutamos la clonación del sitio web a suplantar, nosmuestra el resultado y nos pide iniciar el servidor apache quepermitirá mostrar el sitio clonado:

Ataque DNS SpoofingPara probar que el sitio web fue clonado perfectamente, escribiremosla IP de nuestra maquina atacante en el navegador y nos muestra elsiguiente resultado:

Ataque DNS SpoofingAhora sólo ejecutaremos la herramienta ettercap, quien lanzará elataque, para ello escribiremos la línea que nos muestra la imagen acontinuación en la consola de comando:

Ataque DNS SpoofingUna vez ejecutado ettercap nos muestra como lo evidencia la imagena continuación, que se ha activado el ataque DNS Spoofing:

Ataque DNS SpoofingA continuación entramos a nuestro navegador y digitamosfacebook.com, luego digitamos nuestros datos, en este caso digitéusuario: jaider, password: jaider, asi como se muestra en la siguienteimagen:

Ataque DNS SpoofingRevisando la consola donde se ejecuta nuestro ataque, nos damoscuenta que éste nos muestra los datos digitados:

Ataque Troyano

Ataque Troyano.Lo primero que haremos es instalar dos máquinas virtuales conWindows XP y configurarlas en el mismo segmento de red para poderejecutar el ataque:

Ataque Troyano.Ubicamos la ruta donde se encuentra el troyano Optix Pro, yejecutamos el servidor (Archivo Builder) para crear el troyano quevamos a ejecutar en la maquina victima :

Ataque Troyano.Aceptamos el acuerdo legal para el uso del software escribiendo lasletras xMs, tal como lo muestra la siguiente imagen:

Ataque Troyano.Seleccionamos el lenguaje, en este caso escogemos el idioma Inglés:

Ataque Troyano.En la ventana de administración y creación de nuestro troyano, loprimero que debemos hacer es darle un nombre al mismo, escribir elpuerto por donde se ejecutará y configurar una contraseña paraacceder desde el cliente, esto lo veremos más adelante:

Ataque Troyano.Seleccionamos un icono para nuestro archivo, con el fin de hacerlofamiliar para la victima, en este caso escogimos el icono de WinZip:

Ataque Troyano.Luego entramos al menú Startup & Installation y en la sección startupescribimos un nombre para nuestro troyano y seleccionamos en queSO se ejecutará, en este caso sólo Windows XP:

Ataque Troyano.En la sección FileSetup escribimos igualmente un nombre paranuestro archivo atacante y seleccionamos el directorio desde dondese ejecutará:

Ataque Troyano.En el menú notifications, configuraremos una notificación tipo SMTP,con los datos de la cuenta de correo del atacante, esto cuando se usael troyano para conseguir información, en esta caso se configura elservidor, el puerto smtp y la cuenta de correo, tal como se muestra acontinuación:

Ataque Troyano.El resultado de la configuración SMTP es el siguiente:

Ataque Troyano.Luego en el menú Firewall & AVS Evation, configuramos la evasión delcortafuegos y antivirus por parte de nuestro troyano, en esa mismaventana configuramos un ataque especifico en la ejecución delmismo, el cual es deshabilitar el funcionamiento del Windows MediaPlayer, tal como lo vemos en las siguientes imagenes:

Ataque Troyano.Finalmente construimos el troyano a través de la opción Build/CreateServer y lo guardamos en el disco duro de nuestro PC:

Ataque Troyano.Una vez guardado nuestro troyano, lo copiamos en la maquinavictima para poder ejecutarlo, para efectos de la práctica lo haremosa través de la red, tal como lo muestra la imagen a continuación:

Ataque Troyano.Ejecutamos el archivo y revisamos nuestro administrador de tareas,para verificar que en los procesos esté corriendo nuestro troyano, alque denominados Practica_UNAD, tal como lo evidencian lassiguientes imagenes:

Ataque Troyano.Ahora ejecutaremos el Cliente en la maquina Atacante para poderacceder al troyano y tener el control de la maquina victima, lasimágenes muestran la instalación del cliente:

Ataque Troyano.En esta parte de la presentación observamos el cliente en ejecución,para acceder a la maquina victima y tener el control de nuestrotroyano es necesario especificar la IP de la maquina victima, escribirel puerto y la contraseña, el cual configuramos con el servidor para laejecución de dicho troyano, la imagen a continuación visualiza lopertinente:

Ataque Troyano.En esta parte de la presentación observamos el resultado de la acciónespecifica que configuramos para el Windows media player, el cual nointentará abrirse pero se cerrará automáticamente:

Ataque Troyano.En la siguiente imagen se observa como tenemos accesoremotamente a la maquina de nuestra victima, para ingresar solohacemos click en la opcion PC Manipulation y usamos la opciónRemote Screen Capture e iniciamos, tal como lo muestra la siguienteimagen:

Ataque Troyano.Una segunda opción que probamos es fastidiar a la victima,enviándole mensajes alertando que la maquina ha sido hackeada porejemplo:

Ataque Troyano.La tercera opción que probamos es tener acceso a la información dela maquina tal como lo evidencia la siguiente imagen:

Ataque Troyano.La cuarta opción que se probó es a través de la herramientakeylogger, tal como lo muestra la siguiente imagen:

Ataque Troyano.Por último apagamos la maquina victima desde la maquina atacante,usando la opción shutdown que se encuentra en el submenú PowerOptions, menú Server Options, así como lo evidencia la siguienteimagen:

Fuentes http://es.wikipedia.org/wiki/Spoofing

http://www.welivesecurity.com/la-es/2012/06/18/dns-spoofing/

http://kalilinuxspain.blogspot.com/2013/04/dns-spoof-con-ettercap-en-kali-linux.html

https://www.youtube.com/watch?v=JdGp0ZcTPyU (ataque DNS SPOOFING: ROBAR CONTRASEÑAS)

http://lahackcueva.wordpress.com/category/kali-linux/

http://lahackcueva.wordpress.com/2013/12/04/dns-spoofing-clone-site-attack/

http://www.taringa.net/posts/info/2878035/Trojan-Optix-Pro-1-3.html

http://computerwworld.blogspot.com/2011/04/remote-administration-toolstrojans.html