DNS spoofing – POC

Hoy os quiero hablar del DNS spoofing, se trata de un tipo de ataque que va orientado a alterar las direcciones que el servidor DNS nos provee.

Primero de todo veamos cómo funciona nuestro navegador cuando le decimos que cargue un sitio web.

  1. Cuando abrimos el navegador y le decimos que se conecte a un dominio (www.facebook.com) lo que hace nuestro navegador es pedirle al servidor DNS que tenemos configurado, ya sea por defecto o manualmente, que resuelva la ip de ese dominio.
  2. Una vez tenemos la ip, procedemos a conectarnos a dicho servidor.

Pues bien, el ataque del que os hablo es un ataque del tipo man in the middle y lo que hace es interceptar todos los intentos de conectarse al servidor DNS y les proporciona una ip falsa correspondiente al ordenador de la victima de tal manera que este se conecta a un servidor que no es el correcto.

Para demostrar hasta que punto es fácil y puede ser dañino así como la manera de darse cuenta para que no nos pase, he decidido hacer una proof of concept y realizar un ataque a una victima (falsa) y enseñaros el proceso.

Objetivo: ordenadores de mi LAN

Web: facebook

El primer paso es abrir el ordenador atacante con una suit preparada para realizar estos ataques.

A continuación se realizará la configuración inicial d01onde se especificará que url’s serán las afectadas. En nuestro caso Facebook.

Podemos ver en la imagen de la izquierda, las tres redirecciones que realizo en el fichero de etter.dns en /etc/ettercap/etter.dns

 

 

 

 

 

 

 

 

 

 

Cómo nuestro objetivo es intentar que la gente confunda nuestra web con la de facebook, nos bajaremos la original y así no notarán la diferencia. Para ello usaremos el Social-Engineer toolkit.

02

Y el resultado es el siguiente:03

Ahora solo queda activar el etthercap que sera el programa que usaremos para el DNS spoofing.

04

Al intentar acceder desde el navegador de cualquier usuario de la red local (imagen izquierda) vemos cómo prácticamente es el mismo diseño que el original. Al intentar introducir el usuario y contraseña (imagen derecha), la aplicación captura los datos y nos los muestra.

06

Aquí vemos en detalle el usuario y contraseña capturados.

07

Pues bien, con tan solo algunos ajustes podemos robar usuarios y contraseñas de casi cualquier web a nuestra voluntad. Habiendo visto todo esto, tenemos que extremar las precauciones para evitar que nos pase a nosotros. Pues que nos roben la contraseña del Facebook puede ser dañino pero la de la cuenta bancaria es devastador .

Para los que queráis saber cómo os recomiendo que miréis esta entrada que hice hace ya tiempo y explica cómo evitar el phishing web.

Saludos!