miércoles, mayo 04, 2016

Intercepter-NG: Auditar la red WiFi desde tu Android

Intercepter-NG es una herramienta para Android que nos permite capturar el tráfico de una red local a la que estemos conectados por medio de ataques de tipo ARP poisoning. Podemos encontrarlo directamente en Google Play Store, pero para que funcione en nuestro dispositivo tendremos que tenerlo rooteado. Su principal utilidad es para hacer auditorías de seguridad de caja negra sin ser descubiertos, desde redes WiFi inseguras a las que se tenga acceso en la empresa de manera similar a como se pueden hacer como DSploit.

Figura 1: Intercepter-NG. Auditar la red WiFi desde tu Andrioid

Tras descargar la aplicación y darle permisos root podremos comenzar a explotar todo su potencial. Al ejecutar el programa accederemos al menú principal, en el que se nos indicará la interfaz de red en la que estamos trabajando, la red WiFi a la que estamos conectados, la dirección IP de nuestro dispositivo Android y nuestro Gateway.

Figura 2: Arrancando Intercepter-NG

En la parte superior encontraremos un icono con forma de radar, el cual pulsaremos para comenzar a explorar la red. A continuación se nos mostrara en pantalla los dispositivos que estén conectados indicándonos su sistema operativo mediante técnicas de fingerprinting pasivo - similares a las de Satori -. Una vez seleccionados los objetivos nos aparecerá un menú en la parte superior de la pantalla, en el que encontraremos las distintas herramientas que podremos usar.

Figura 3: Opciones para los ataques. Tiene también DNS Spoofing

En la esquina superior derecha encontraremos un icono una con rueda dentada, sobre el que pulsaremos para establecer la configuración que usaremos para realizar nuestro ataque, aquí será donde podemos activar ataques como SSLStrip para atacar las conexiones HTTPs y otras funciones como el bloqueo de la pantalla para evitar que se nos apague el terminal mientras se ejecuta la aplicación.

La primera pestaña - con el icono radiactivo - nos permitirá comenzar un ataque de ARP Poisoning con el que se realizará el man in the middle y permitirá capturar el tráfico de red. Esta herramienta es la parte más importante de Interceptor-NG, ya que es necesaria para el funcionamiento del resto de opciones. Una vez pulsado el botón “Play” cada vez que la víctima visite una página esta quedara registrada. Si el protocolo de la página es HTTP y la víctima se conecta con sus credenciales, automáticamente nos aparecerá su usuario y contraseña en la pantalla al estilo del clásico Cain & Abel. Sin embargo si el protocolo es HTTPs no nos permitirá hacer esto, excepto en algunos casos que seremos capaces de burlar la capa SSL por medio de los ataques SSLStrip si no hay un Certificate Pinning configurado de forma robusta.

Figura 4: Dispositivos en la red WiFi

A la derecha encontramos otra pestaña cuyo icono es similar al de Wireshark pero de color verde. Esta herramienta nos será útil para capturar todos los paquetes que viajen por la red y realizar un análisis más exhaustivo de ellos, ya que es un snifer de tráfico general.

Figura 5: Captura de tráfico en la red

En la tercera pestaña - icono con forma de galleta - podremos encontrar las cookies que posteriormente podremos utilizar para secuestrar sesiones - hijacking -. Será tan sencillo como pulsar sobre la cookie que queramos utilizar e iniciaremos la sesión en nuestro dispositivo al estilo de FireSheep o de como se hace con DSploit.

Figura 6: Historial de navegación y cookies para hacer hijacking de session

Por ultimo tenemos una pestaña con el icono de galería, donde podremos ver las fotografías que el usuario ha visto en su pantalla durante su sesión de navegación al estilo de Network Miner. Como podréis comprobar, esta aplicación dispone de un gran potencial ya que podrá ser utilizada en cualquier lugar sin llamar la atención, lo que nos demuestra que nunca estaremos seguros al conectarnos a una red pública ya que podríamos ser víctimas de un ataque sin ni siquiera darnos cuenta de ello.

Los ataques que incorpora esta herramienta están todos descritos en el libro de Ataques en redes de datos IPv4&IPv6, pero aquí contamos con una herramienta que los implementa cómodamente para llevarlos siempre encima en nuestro terminal Android para auditorías. Aún así, antes de hacer uso de estas herramientas en redes que no son tuyas, primero asegúrate de que sabes qué es lo que estás haciendo en cada caso.

Autor: Sergio Sancho Azcoitia

12 comentarios:

  1. Buenas,
    Ayer mismo le comente este mismo tema a un familiar, ahora mismo se lo comparto, como anillo al dedo, muy bien explicado Sergio!

    Muchas gracias por compartirlo!
    Saludos!

    ResponderEliminar
  2. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  3. Excelente artículo @Sergio, solo una cuestión asalta mi cabezita...cómo navego seguro sin que los ataques mencionados tengan efecto?, claro desde un android y tambien en un Pc.
    Saludos

    ResponderEliminar
  4. el maravilloso mundo de la seguridad informática nos sorprende cada día con nuevas herramientas

    ResponderEliminar
  5. Hay mejores herramientas que esta, como arcai netcut(registro de dispositivos conectadosnunerados con ips, mac,tipo de dispositivo,ect. Y lo mejor de todo dejar sin conexion a un ip o varias de un solo tic con un ataque cambiando los valores de la tabla ARP), zanti 2.0(capaz de todo lo que puedas llegar a imaginar, desde poder capturar los paquetes cambiarlos, hasta poder ver las propias vulnerablidades y ejecutar propios exploit creados por ziperium y secuestrar dispositivos por medio de puertos abiertos y conexion vnc) la mejor herramienta sin duda que conozco.Nipper(capaz de ver la version y vulneravilidades de los sitios web) y por ultimo una de las mejores que conozco para ver la seguridad de las app aunque no aconsejo hacer nada con esta app con alguna credencial vuestra de algo del banco, se llama SSL Packet Capture todas las que he dicho necesitan ser root menos esta, esta instala un certificado en tu dispositivo y crea un vpn para poder desencriptar cualquier cosa en https pero solo funciona vuando lo haces desde tu dispositvo, pero si se usara otra aplicacion poner el movil modo MITM y hacer pasarla por nuestro dispositivo este programa la desencriptaria sin ningun problema, pero no confio mucho porque recuerda que estamos usando un certificado falso y yn vpn cualquirra que haya creado esta aplicacion podria estar guardando los datos que snifamos aqui he dejado cosas para que seguais investigando la seguridad aunque las dos que mas prometen son Zanti y ssl Packet Capture

    ResponderEliminar
  6. Tampoco os olvideis de Wifikill, captap de tumbar toda la conexion en una Lan y quedarte con todo el internet o incluso a un pc en particular, y otra muy buena herramienta es SqlDroid, capaz de hacer ataques SQLinjeccion al estilo Sqlmap de una manera super comoda y el santo grial de todas es kali nethunter(para dispositivos Nexus solamente) que conectandole una antena puedes llegar a hacer ataques wifi o tener una maquina "virtual" con Kali y metasploit en tu android con todos sus exploits, este ultimo no estoy muy seguro de que puedan funcionar bien todos los exploits, una pasada.

    ResponderEliminar
  7. Desconozco si soy el único, pero ahora que conseguí un móvil para instalarle las mejores apps de pentesting, me aparece que INTERCEPTER-NG ha sido retirado del Playstore... debido a ello lo baje de mediafire en otro sitio, por lo que una vez instalado (y obviamente hecho root) al ejecutarlo solo me saca las leyendas "permisison root Granted" y despues "Network interface not found. Do not use 3G" siendo que SOLO tengo salida a wifi en el celular, ni siquiera la SIM me sirve. Sera que la dieron de baja ya? Espero que haya alguien que sepa mas al respecto. Por lo demas EXCELENTE Entrada Sergio! Muchas Gracias

    ResponderEliminar
  8. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  9. buenas
    necesito el tutorial de la ultima versión v2.0
    me podrían ayudar

    ResponderEliminar
  10. Yo también lo necesito y no se si todavía en el 2018 funciona

    ResponderEliminar