jueves, agosto 05, 2010

Hacking FOCA [1 de 3]

*********************************************************************************************
- Hacking FOCA [1 de 3]
- Hacking FOCA [2 de 3]
- Hacking FOCA [3 de 3]
*********************************************************************************************

A parte de la forma pensada para trabajar con FOCA que está siendo descrita en el Manual de usuario de la FOCA 2.5, muchas de las nuevas funcionalidades de la FOCA van apareciendo a partir de usar la herramienta de una manera “tricky”, es decir, de “hackear” su funcionamiento para conseguir algunos resultados mejorados. En esta serie os voy a poner tres usos que hemos pensado y utilizado de la herramienta en su versión actual y que acabarán por convertirse en parte del funcionamiento normal de la misma en próximas versiones.

FOCA & Evilgrade

Evilgrade es un framework que creó inicialmente Francisco Amato, la herramienta está pensada para, una vez realizado un ataque de DNS Poisoing, suplantar a los servidores que son comprobados por los clientes para buscar actualizaciones y troyanizar la máquina mediante una actualización maliciosa.

La idea es genial y, en la versión que liberará la próxima semana y que presentó en Defcon 18 y Black Hat 2010, tendrá 53 módulos distintos para hacer ataques de este tipo. En la mayoría de los módulos se consigue ejecución directa, en otros es necesaria una pequeña intervención del usuario haciendo clic en algún mensaje de alerta y en otros, como en el caso de Windows Update, es mediante la suplantación de la página web original para hacer un phishing.

Como FOCA incorpora un módulo de DNS Caché Snooping, una de las ideas para sacarle más partido a la información extraída es generar un fichero con todos los servidores para los cuales Evilgrade tiene un módulo de ataque. De esta manera, FOCA puede descubrir cuáles son los módulos a preparar en un ataque con Evilgrade en un pentesting de una empresa.

Francisco Amato nos ha pasado un fichero con los nombres de dominio, y éste es el resultado al pasarlo por algunas organizaciones con el módulo de DNS Caché Snooping de FOCA 2.5

En la Renfe, como se puede ver, además de tener máquinas con Windows que visitan sitios con Google Analytics, para los cuales tiene un módulo de ataque preparado Evilgrade, tiene como curiosidad que los usuarios navegan a winscp.com, que es la página de un cliente FTP que tiene activada la búsqueda de actualizaciones y al menos alguno de ellos tiene instalado el Antimalware de ClamAV.


Figura 1: DNS Caché Snooping de Evilgrade a Renfe.es

En la UNED, además de Windows y Google Analytics, se podría hacer un ataque al sistema de actualizaciones de Cygwin.com.


Figura 2: DNS Caché Snooping de Evilgrade a la UNED

Por último, en el ayuntamiento de Getafe, que compite con nuestro Móstoles - en vano }:) - por ser la capital del sur, se podría hacer uso también de los módulos para el sistema de actualizaciones de autoitscript.com y vmware.com.


Figura 3: DNS Caché Snooping de Evilgrade al ayuntamiento de Getafe

El fichero de Evilgrade.txt se puede generar desde el framework con un simple show vhosts, pero para la próxima mini-release de la FOCA que saldrá a finales de la semana que viene con algunos arreglos a pequeños fallos, ya vendrá incorporado. Además, en el futuro incorporaremos esta búsqueda de forma automatizada en FOCA.

*********************************************************************************************
- Hacking FOCA [1 de 3]
- Hacking FOCA [2 de 3]
- Hacking FOCA [3 de 3]
*********************************************************************************************

4 comentarios:

  1. Increible o_O, envenenar las DNS para descargar un malware como actualización, por que nunca se me ocurrioooo ?!!!

    Gracias por compartir estos tutoriales, son tremendos, sigue asi !!

    Por fin otro vector de ataque con Foca contra las empresas, seeeh

    ResponderEliminar
  2. ¿Equipos infectados en Renfe?

    213.144.33.254 has an entry in it's cache for byet.org: 207.182.153.212 TTL: 59179 (Malware: Rotating popups sometimes lead to rogue software, Source: MDL)
    213.144.33.254 has an entry in it's cache for hotfile.com: 74.120.10.110 TTL: 33698 (Malware: Multiple Entries, Source: MDL)
    213.144.33.254 has an entry in it's cache for hotfile.com: 74.120.10.111 TTL: 33698 (Malware: Multiple Entries, Source: MDL)
    213.144.33.254 has an entry in it's cache for hotfile.com: 74.120.10.112 TTL: 33698 (Malware: Multiple Entries, Source: MDL)
    213.144.33.254 has an entry in it's cache for hotfile.com: 74.120.10.109 TTL: 33698 (Malware: Multiple Entries, Source: MDL)
    213.144.33.254 has an entry in it's cache for network.adsmarket.com: 193.169.104.1 TTL: 3329 (Malware: directs to NaviPromo, Source: MDL)
    213.144.33.254 has an entry in it's cache for twitthis.com: 209.240.82.18 TTL: 15923 (Malware: Exploits, Source: MDL)
    213.144.33.254 has an entry in it's cache for webcashmaker.com: 67.55.108.132 TTL: 20782 (Malware: RFI, Source: MDL)

    ¿Malware en el Ayuntamiento de Getafe?

    194.224.112.3 has an entry in it's cache for adserving.favorit-network.com: 91.209.163.184 TTL: 1 (Malware: -, Source: MDL)
    194.224.112.3 has an entry in it's cache for adserving.favorit-network.com: 91.209.163.182 TTL: 1 (Malware: -, Source: MDL)
    194.224.112.3 has an entry in it's cache for buy404s.com: 66.154.70.243 TTL: 76373 (Malware: DriveCleaner, Source: MDL)
    194.224.112.3 has an entry in it's cache for byet.org: 207.182.153.212 TTL: 54987 (Malware: Rotating popups sometimes lead to rogue software, Source: MDL)
    194.224.112.3 has an entry in it's cache for hotfile.com: 74.120.10.110 TTL: 76822 (Malware: Multiple Entries, Source: MDL)
    194.224.112.3 has an entry in it's cache for hotfile.com: 74.120.10.111 TTL: 76822 (Malware: Multiple Entries, Source: MDL)
    194.224.112.3 has an entry in it's cache for hotfile.com: 74.120.10.112 TTL: 76822 (Malware: Multiple Entries, Source: MDL)
    194.224.112.3 has an entry in it's cache for hotfile.com: 74.120.10.109 TTL: 76822 (Malware: Multiple Entries, Source: MDL)
    194.224.112.3 has an entry in it's cache for twitthis.com: 209.240.82.18 TTL: 11134 (Malware: Exploits, Source: MDL)
    t

    ResponderEliminar
  3. Jack, a mi se me ocurrió hace varias semanas. Pensaba en como alguien podría entrar en mi ordenador estando el disco cirado y recuperar los datos de cara ha poder realizar un análisis forense (se supone que el ordenador no ha sido apagado y permanece con la sesión abierta).

    La solución obvia que se me ocurrió fue meter un tap y analizar el tráfico de red de ese ordenador el máximo de tiempo posible. Si tiene actualizaciónes automáticas ya lo has cazado.

    ¡Lo que no imagine es que ya estaba implementado y con una herramienta así de fácil!

    ResponderEliminar
  4. Amigo Jack y amigo anónimo, parece que sois muy jovellanos o principiantes en estos temas. Haced un poco de google sobre el tema de las actualizaciones y vereis que el tema es bastante viejo.

    Ahora, que no se me pille un robote Chema, esto no desacredita para nada la foca.

    ResponderEliminar