Víctor Calvo Vilaplana

Implementación de ataques

basados en DNS Spoofing

INDICE0 – Introducción1 - Funcionamiento básico entre el usuario y el servidor

DNS 2 - Como suplantar el servidor DNS original por el

“maligno” 3 - Posibles ataques con servidores DNS ilegítimos

3.1 - Ataque básico 3.2 - Algo más grave, visitando webs espejo3.3 - Infectando a la víctima3.4 - Otra forma de mentir, pdf malignos3.5 - Creando una bootnet con JavaScript

4 - Evitando ataques de DNS Spoofing5 - Conclusión

¿Utilidad del servidor DNS?www.uv.es

147.156.1.4

¿Qué es un ataque basado en DNS spoofing? www.uv.es 192.168.0.102

Finalidad de estos ataques: Robo de datos Infección de ordenadores Creación de bootnets

Introducción

1 - Funcionamiento básico entre el usuario y el servidor DNS

Funcionamiento correcto:

1 - Funcionamiento básico entre el usuario y el servidor DNS

Cuando se realiza un ataque de DNS spoofing:

2 - Como suplantar el servidor DNS original por el “maligno”

Tenemos acceso físico. Estamos en la misma red

obtener acceso al router.• Clave por defecto.• Ataques de fuerza

bruta.• Exploits.

www.routerpwn.com

2 - Como suplantar el servidor DNS original por el “maligno”

Ataque remoto:• Conocemos la IP del objetivo.• Búsquedas por Shodan.

• Clave por defecto.• Ataques de fuerza bruta.• Exploits.

www.shodanhq.com

3 - Posibles ataques con servidores DNS ilegítimos”

3.1 - Ataque básico.

3.2 - Algo más grave, visitando webs espejo.

3.3 - Infectando a la víctima.

3.4 - Otra forma de mentir, pdf malignos.

3.5 - Creando una bootnet con JavaScript.

3.1 - Ataque básico.

El ataque consiste simplemente en redirigir una página a otra.

Entramos en correu.uv.es

3.1 - Ataque básico.

¿Cómo saber si la web visitada es la correcta?

Vemos que la dirección de correu.uv.es es igual que la del servidor DNS, y lo peor es que no pertenece al rango de la universidad 147.156.0.0/16.

3.2 - Algo más grave, visitando webs espejo

¿Es la autentica web de Facebook?

Aparentemente si, pero…. Esto

puede ocasionar

Robo de datos del usuario

3.3 – Infectando a la víctima

Utilizando un applet de Java modificado que la víctima ejecutará.

Utilizaremos S.E.T

Redirigimos a la víctima a una web modificada

Obtenemos el control del ordenador de la víctima

3.4 - Otra forma de mentir, pdf malignos

Generamos un pdf modificado con Metasploit

Duplicamos una web y lo sustituimos por

uno legítimo

Obtenemos el control del ordenador de la víctima

3.5 - Creando una bootnet con JavaScript

Beef nos permite con la ayuda un código JavaScript inyectado en una web vulnerable tomar el control de sus visitantes.

Podemos redirigir a nuestras víctimas a webs espejo modificadas con el JavaScript de Beef

4 - Evitando ataques de DNS Spoofing

Cambiar los parámetros de usuario/contraseña del router.

Introducir los datos del servidor DNS a mano en el SO.

Tener siempre actualizado el SO, sobre todo, el lector pdf y Java.

Tecnología DNS-Sec (la tienen que implementar los servidores).

5 – Conclusión

Descartemos la idea de “¿por qué van a atacarme a mi si no tengo nada interesante que robar?”, ya que podemos ser escogidos al azar.

Ningún SO es inmune a amenazas, como muestra el reciente caso de OS X y 600.000 MAC infectados.

¡CUIDADO!, los ataques aquí mostrados son ilegales.

FIN

¿DUDAS?

¿INSULTOS?

¿AMENAZAS?