Implementación de ataques basados en DNS Spoofing Víctor Calvo Vilaplana
INDICE 0 – Introducción 1 - Funcionamiento básico entre el usuario y el servidor DNS 2 - Como suplantar el servidor DNS original por el “maligno” 3 - Posibles ataques con servidores DNS ilegítimos 3.1 - Ataque básico 3.2 - Algo más grave, visitando webs espejo 3.3 - Infectando a la víctima 3.4 - Otra forma de mentir, pdf malignos 3.5 - Creando una bootnet con JavaScript 4 - Evitando ataques de DNS Spoofing 5 - Conclusión
Introducción ¿Utilidad del servidor DNS? www.uv.es 147.156.1.4 ¿Qué es un ataque basado en DNS spoofing? www.uv.es 192.168.0.102 Finalidad de estos ataques: Robo de datos Infección de ordenadores Creación de bootnets
1 - Funcionamiento básico entre el usuario y el servidor DNS Funcionamiento correcto:
1 - Funcionamiento básico entre el usuario y el servidor DNS Cuando se realiza un ataque de DNS spoofing:
2 - Como suplantar el servidor DNS original por el “maligno” Tenemos acceso físico. Estamos en la misma red obtener acceso al router. Clave por defecto. Ataques de fuerza bruta. Exploits. www.routerpwn.com
2 - Como suplantar el servidor DNS original por el “maligno” Ataque remoto: Conocemos la IP del objetivo. Búsquedas por Shodan. www.shodanhq.com Clave por defecto. Ataques de fuerza bruta. Exploits.
3 - Posibles ataques con servidores DNS ilegítimos” 3.1 - Ataque básico. 3.2 - Algo más grave, visitando webs espejo. 3.3 - Infectando a la víctima. 3.4 - Otra forma de mentir, pdf malignos. 3.5 - Creando una bootnet con JavaScript.
3.1 - Ataque básico. El ataque consiste simplemente en redirigir una página a otra. Entramos en correu.uv.es
3.1 - Ataque básico. ¿Cómo saber si la web visitada es la correcta? Vemos que la dirección de correu.uv.es es igual que la del servidor DNS, y lo peor es que no pertenece al rango de la universidad 147.156.0.0/16.
3.2 - Algo más grave, visitando webs espejo ¿Es la autentica web de Facebook? Aparentemente si, pero…. Esto puede ocasionar Robo de datos del usuario
3.3 – Infectando a la víctima Utilizando un applet de Java modificado que la víctima ejecutará. Utilizaremos S.E.T Redirigimos a la víctima a una web modificada Obtenemos el control del ordenador de la víctima
3.4 - Otra forma de mentir, pdf malignos Generamos un pdf modificado con Metasploit Duplicamos una web y lo sustituimos por uno legítimo Obtenemos el control del ordenador de la víctima
3.5 - Creando una bootnet con JavaScript Beef nos permite con la ayuda un código JavaScript inyectado en una web vulnerable tomar el control de sus visitantes. Podemos redirigir a nuestras víctimas a webs espejo modificadas con el JavaScript de Beef
4 - Evitando ataques de DNS Spoofing Cambiar los parámetros de usuario/contraseña del router. Introducir los datos del servidor DNS a mano en el SO. Tener siempre actualizado el SO, sobre todo, el lector pdf y Java. Tecnología DNS-Sec (la tienen que implementar los servidores).
5 – Conclusión Descartemos la idea de “¿por qué van a atacarme a mi si no tengo nada interesante que robar?”, ya que podemos ser escogidos al azar. Ningún SO es inmune a amenazas, como muestra el reciente caso de OS X y 600.000 MAC infectados. ¡CUIDADO!, los ataques aquí mostrados son ilegales.
FIN ¿DUDAS? ¿INSULTOS? ¿AMENAZAS?