lunes, octubre 07, 2019

Shellphish & SocialBox: El phishing y la fuerza bruta siguen siendo actualidad

Ya son unos cuantos años trabajando en seguridad. Son unos cuantos años en los que veo charlas, paso por talleres, por eventos, ves cómo evoluciona todo y cómo todo tiende a avanzar. ¿Todo? Si revisamos repositorios de nuevas aplicaciones encontramos, en muchas ocasiones, nuevas herramientas que surgen y que quieren mostrar formas de hacer lo mismo. ¿A qué me refiero? El phishing y la fuerza bruta. Uno de los problemas estructurales que sufre al e-mail.

Figura 1: Shellphish & SocialBox: El phishing y la fuerza bruta siguen siendo actualidad

En muchas ocasiones oigo a la gente hablar del phishing con cierto ‘desprecio’. Mucha gente piensa que ellos no caerían, pero nada más lejos de la realidad. Cualquier puede caer, solo depende del tiempo y de los recursos empleados, es decir, de lo real que parezca ser el mundo que preparan para nosotros. Solo hay que recordar los ataques OAuth con SAPPO. La verdad es que cualquiera puede caer.


Figura 2: Ataques Sappo a empresas

Como decía he estado analizando el repositorio de Kitploit, donde puedes encontrar un gran número de herramientas de seguridad. Viendo diferentes herramientas me ha llamado la atención que siempre hay alguna herramienta para automatizar ataques de phishing o llevar campañas en simulaciones. Otra herramienta que no pasa ‘de moda’ son las de fuerza bruta. Todos podemos recordar Hydra, John The Ripper, Abel & Cain, etcétera. Pero todo esto se renueva y encontramos otras, mejores y peores, más funcionales y menos funcionales, más terminadas y menos acabadas, pero al final, la gente sigue creando herramientas.

ShellPhish

Esta es una herramienta que proporciona de forma predeterminada diferentes tipos de phishing. Alrededor de 18 ejemplos de phishing a distintas páginas web. Los ejemplos modernos: Netflix, Spotify, Steam, Gitlab, como se puede ver no son los típicos ejemplos de base, los cuales también están: Facebook, Twitter, Google, etcétera.

La herramienta es a modo de script, recordando a Social Engineering-Toolkit, quizá una de las herramientas más potentes e interesantes en la parte de la ingeniería social. Al menos, seguro, una de las más utilizadas y conocidas.

Figura 3: ShellPhish v1.7

Como dato interesante y que muestra diferencias con otras herramientas de generación de phishing se encuentra la opción de tunelizar mediante SSH la comunicación. Esto se realiza a través de serveo.net.

En este punto, la herramienta tiene un uso sencillo. Simplemente hay que rellenar la opción para hacer port-forwarding, eligiendo el puerto, por ejemplo, lo dejamos por defecto. Una vez hecho esto, se levanta un servidor con la regla de port-forwarding creada y preparada. La página que se ha copiado es la de Instagram, ya que se ha escogido la opción 1.

Figura 4: Port-forwarding para el phishing de Instagram

En la imagen, se puede ver la página web de serveo.net. Aquí nos dan un servicio para poder exponer servidores locales a Internet, sin necesidad de instalar nada. Lo que realiza esta aplicación es hacer uso de esto para lograr el port-forwarding. Si no lo has probado se recomienda probarlo.

Figura 5: Acceso ssh al servidor 

Ahora toca probar la página que se ha generado. Como se puede ver en el navegador, se dispone de un clon del sitio web de Instagram. Lo interesante es el número de templates que trae la propia herramienta, así como la posibilidad de ‘customizar’ el phishing. Cuando el usuario introduce el usuario y contraseña, éstos valores serán recogidos y reenviados a la aplicación PHP levanta, es decir, serán recibidos por shellphish.

Figura 6: Web phishing de Instagram

Como se puede ver, se reciben los datos del phishing. Además, cualquier dato es almacenado en un fichero de texto denominado saved.usernames.txt dentro de cada carpeta de phishing.

Figura 7: Datos recogidos en la web de phishing

Se recogen diferentes datos como la dirección IP, el user-agent, la ubicación geográfica por IP, etcétera.

SocialBox

Esta herramienta se puede encontrar en Github. Esta herramienta tiene un funcionamiento sencillo, el cual permite hacer fuerza bruta por diccionario a las cuentas de Facebook, Gmail, Instagram y Twitter. Para la instalación de la herramienta se ejecuta el script install.sh.

Figura 8: Opciones de Social Box

Como curiosidad podemos decir que la herramienta, recoge un fichero de texto, con una contraseña por línea para hacer la fuerza bruta. Cuando se están instalando las dependencias, se puede observar que se instala TOR, pero el uso de esta parte queda aislado de la herramienta, al menos por el momento.

Figura 9: Ataque de Fuerza Bruta

Al final, son herramientas que podemos meter en nuestra mochila de pentester y que podemos configurar para ser utilizadas en cualquier instante dentro de un Ethical Hacking. Sabemos que la fuerza bruta no es un buen método, aunque en alguna ocasión puede ser la única manera en un proyecto de pentesting. Respecto al phishing, no es la herramienta más actualizada o con técnicas más modernas, pero lo que sí se sabe es que hoy en día, el phishing sigue siendo una de las amenazas más peligrosas para las empresas.

Figura 10: Libro de Ethical Hacking

Seguiré mirando herramientas y analizando este tipo de situaciones y de funcionamientos. Detrás de una herramienta, siempre hay una idea que puede hacer mejorar, aunque sea mínimamente, un campo. Así que bienvenidas sean.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.
Para consultas puedes usar el Buzón Público para contactar con Pablo González

2 comentarios:

Unknown dijo...

por que no explicas como aser una herramienta como esa asi aprender

Unknown dijo...

cuando estoy instalando socialbox me dice que tengo que poner un usuario y una contraseña

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares