Ingeniera Social con SET

Social Engineer Tool Kit , es un script que nos proporciona una infinidad de herramientas de ingeniería social , este conjunto de herramientas se integran perfectamente a Metasploit .

Podemos seleccionar el tipo de vector de ataque que mas nos guste ;) en mi caso selecciono el vector Web

Menu principal de nuestro SET

seleccionamos la opción numero 1 y luego el vector de ataque web 

Este vector de ataque nos permite utilizar  plantillas web o clonar  :3 , para verificar el poder de la herramienta decidimos clonar 

Como se puede observar en la imagen especificamos la ip la cual nos va a permitir robar las credenciales y el dominio que deseamos clonar , como esto es una prueba de concepto  y no un ataque real , no se explicara como envenenar un dns o suplantar un dns eso se los dejo a uds ;) 

accedemos por un navegador a nuestra ip 192.168.0.17 y este es el resultado.

Clonación perfecta! , ingresamos nuestros datos y hacemos un submit y del lado del atacante aparece la siguiente información en SET.

Datos interesantes , si ya tenemos iniciada una sesión de gmail , el ataque redirecciona la ip falsa a la verdadera bandeja de entrada, y lo mas importante las preciadas Credenciales.

Slds

Ingeniera Social un enfoque teórico , hackeando el cerebro humano

La ingeniera social es el medio o el canal por el cual un intruso puede manipular a los usuarios para conseguir acceso "licito"  a la información , robar credenciales o escalar privilegios en un sistema comprometido.

Libro The Art of Human Hacking - SET

 La ingeniera social considera al eslabón mas débil de un sistema al usuario , es por eso que hoy en día existen infinidad de técnicas para engañar al usuario o realizar ataques del lado del cliente (el usuario) , un atacante podría aprovecharse de las emociones de los usuarios para llamar su atención y hacer que el usuario ejecute "algo" en el equipo y lograr acceder a su objetivo.

Planteemos el siguiente escenario , Supongamos que nuestro objetivo es llegar a acceder al equipo del gerente general; bueno necesitamos recabar la mayor información posible , hoy en día resulta fácil gracias a las redes sociales como :facebook , twitter y Linkedin (solo por dar un ejemplo) sin olvidar a los motores de búsquedas.

En la fase de "information Gathering" nos damos cuenta que a nuestro usuario pertenece a un grupo contra el maltrato de animales en Facebook, lo siguiente seria preparar un archivo "malicioso" y enviar por correo a nuestra victima con algún titulo como, "Felicidades Ud ha sido seleccionado para ser parte de la organización mas grande en contra del maltrato animal", en este escenario estamos hackeando una emocion "el interes"

Considero que en las empresas se debería capacitar al usuario y generar conciencia de lo que están expuesto con el sólo hecho de estar conectados a Internet.

De nada sirve invertir en Firewalls, IDS y cual otra tecnología que ayude a asegurar el perímetro, si nuestros usuarios desconocen el riesgo de estar expuestos a internet

Para terminar les recomiendo una interesante película llamada 9 Reinas

 

Robando Credenciales con incógnito (Procesos en Memoria)

Continuando con meterpreter , existe una "utilidad" llamada incógnito originalmente independiente que se integro a metasploit y luego en meterpreter, esta herramienta permita robar los "tokens" en un sistema comprometido haciendo analogía a las Cookies de la web.

Es decir si un usuario ejecuta un proceso y nosotros lo listamos con ps de meterpreter , verificamos los procesos creados ( y que usuario los creo el mismo) incógnito permite robar las credenciales del proceso en memoria y obtener la "identidad", en otras palabras suplantar sus roles y permisos del sistema comprometido.

Siguiendo el post de Metasploit & Meterpreter , una vez comprometido el sistema podríamos robar las credenciales , ¿ para que corno robar las credenciales? , bueno depende de nuestra imaginacion.

Supongamos que necesitamos crear usuarios un Controlador de dominio y sabes a priori tenemos identificado el dominio , en nuestro caso se llama pps-labs

Listando los procesos con el comando ps de meterpreter

 Antes de robar la nueva "identidad" verificamos la nuestra, en este caso el servidor comprometido es un windows 2003 server y estamos como administrador

Window server 2003 Comprometido

Usuario antes de robar la credencial con incógnito

En el listado encontramos a un usuario\dominio llamado Chuck\pps-labs para robar la credencial necesitamos conocer el PID (identificador de proceso) 1540, procedemos a robar la credencial.

Robando la credencial con incógnito "steal_token PID"

Imaginemos el siguiente escenario , supongamos el usuario Chuck es el dueño y señor del controlador de dominio(Windows 2008), una vez suplantada su identidad podríamos crear usuarios , eliminar o modificar los grupos y permisos del usuario que necesitemos.

En mi caso creare un usuario y lo agregar al grupo de administradores del Servidor Windows 2008 R1 desde una shell remota de un Windows 2003 Server.

Agregando un usuario NET USER

Una vez agregado el usuario con la identidad (Chuck el administrador de dominio del windows 2008 server ) , procedemos a agregar al grupo de administradores

Agregando nuestro usuario creado al grupo de "Administradores"

Con eso acabamos de crear un usuario del el dominio pps-labs  en el windows 2008 R1 sin acceder al mismo.

ipconfig windows 2008 server

Considero que incógnito es una utilidad que todo pentester debería conocer y utilizar.

Saludos!

Hombre en el medio MITM (La teoría)

Este ataque es uno de los mas viejos y de los mas utilizados , en pocas palabras MITM es una ataque en el cual un intruso puede llegar a interceptar , leer y modificar un mensaje enviado entre 2 partes sin que el emisor o receptor se de cuenta de lo que esta pasando.

Envenenamiento ARP

Una de las formas mas habituales de realizar este ataque es utilizando un router WIFI para interceptar las comunicaciones de los usuarios, para nuestro amado linux existen varias herramientas para realizar el ataque como ser :

• arpspoof 
• Ettercap
• SSLstrip
• Cain (Windows)

La técnica consiste en enviar paquetes ARP falsos , con la finalidad de asociar la  dirección MAC del intruso con la dirección IP de otro nodo (la victima), como por ejemplo la puerta de enlace predeterminada ,proxy Transparente , router Wifi.

Cualquier paquete (datos o información) que sea enviado a la puerta de enlace o router podría ser interceptado y modificado por un intruso, en lugar de ser recibido por el receptor real.

 El intruso, dependiendo de lo que que quiera o necesite hacer puede reenviar el trafico (ataque pasivo) , o modificar los datos antes de reenviarlos (ataque activo). 

Se puede crear un tipo de ataque de Denegacion de Servicio (D.O.S) el atacante podria asociar una dirección MAC que no existe a la IP de la puerta de enlace de la victima 

Herramienta Arpspoof

Una forma de mitigar este ataque es utilizando tablas ARP estáticas agregar las entradas estáticas ARP,de esta forma no se podria envenenar la cache de las tablas (dinámicas) cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP.

Esta no es una solución práctica (ni optima), sobre todo en redes grandes, el esfuerzo de mantener actualizadas  las tablas ARP (MAC & IP) != DHCP fail!

Muy bien ya que entramos en la teoría, estamos listos para pasar a la practica con las distintas herramientas y "escenarios" que se pueden presentar.

Metasploit & Metepreter (Diversion garantizada)

Metasploit es un framework que nos proporciona múltiples exploit y herramientas que nos permiten identificar vulnerabilidades en una prueba de penetración de sistemas.

Recuerdo cuando no existia este framework y tenias que descargar cada exploit , modificarlo y compilarlo por lo general todos estaban escritos C, como olvidar el exploit de tarasco que explotaba una vulnerabilidad conocida en los sistemas Windows "RPC DCOM" mi primera shell reversa con windows XP fue amor a primera vista .

Comenzamos determinando el S.O , los servicios y versiones de software con el que cuenta nuestro objetivo (Target).

Determinamos que nuestro objetivo es un w2k3 sin parche alguno , ejecutamos metasploit  buscamo el exploit para nuestro w2k3 , configuramos el ms03_026_dcom , en nuestro caso vamos a utilizar como payload a meterpreter y una shell reversa por si hay algún firewall "protegiendo" el S.O

En la imagen podemos observar que metepreter creo una sesión de forma exitosa, ahora podemos hacer lo que nuestra imaginación nos permita , el comando sysinfo permite obtener datos del S.O.

Con el comando Shell nos devuelve una "shell" del S.O , con la cual podemos utilizar los comandos nativos de Windows , como por ejemplo listar la configuración de las IP

Listamos los procesos del sistema operativo con el comando Tasklist

Para volver a la sesión de meterpreter solo escribimos exit, con el comando screenshot capturamos la pantalla actual del servidor

 

Metepreter nos permite hacer un dump al archivo SAM de windows , para posteriormente crackear, con el comando upload subimos un Netcat al equipo y modificamos el editor de registros de windows para crear una BindShell.

 

Modificamos "regedit"

Ya tenemos una puerta trasera escuchando en un puerto en este caso el 666 jajaaj, meterpreter permite aplicar técnicas "anti forenses" como el de limpiar el registro de eventos de windows para no "dejar" huellas con el comando clearev.

  

Mientras menos rastros se pueda dejar en una intrusión mejor , el nivel de experiencia de un buen pentester es proporcional a las huellas que pueda dejar en una intrusión.

Crakeando password WEP con Kali Linux

El tema de Cracking wep es un poco viejo , de todas formas dejo un video aquí que fue realizado para un laboratorio , en el postgrado de Seguridad Informática.

Entrando un poco en la teoría , WEP viene de "Wired Equivalent Privacy"  es un método de cifrado incluido en el  protocolo de 802.11 que utiliza el algoritmo RC4 que utiliza claves de 64 bits, de los cuales 24 bits son del vector de iniciación.

El principal problema radica en que no implementa adecuadamente el vector de iniciación del algoritmo RC4, ya que utiliza un enfoque directo y predecible para incrementar el vector de un paquete a otro.

En nuestro caso utilizamos la suite de herramientas (Aircrack-ng) que viene en  Kali , para capturar datos y romper la clave.

Al final de todo el proceso deberían ver una imagen parecida a esta.