Information Security by me…
"Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas." A.Einstein

Social Engineering Toolkit & Web Cloning Attack

Aproximadamente desde que salió este Framework lo vengo siguiendo de cerca, asombrado con la evolución que ha tenido en tan corto tiempo y la eficacia lograda en el ataque.

SET es el Framework mantenido por la gente de http://www.social-engineer.org, escrito por David Kennedy, desarrollado para bajar a tierra una forma de ataque basada en la Ingeniería Social. Este Framework que puede descargarse desde el sitio mencionado o que ya se encuentra incluido en BackTrack 4.0 Final, se integra directamente con Metasploit para perfeccionar su ataque.

Al ejecutarlo, por linea de comando, nos aparece un menú dandonos una serie de opciones interesantes:

1) Spear-Phishing (e-mail) Attacks
2) Website Attack Vectors
3) Update The Metasploit Framework
4) Update The Social-Engineer Toolkit
5) Create a Payload and Listener
6) Helps, Credits, and About
7) Exit The Social-Engineer Toolkit

sin embargo, en este post solo nos concentraremos en segundo de los ataques. Esta herramienta nos permite de forma muy sencilla seleccionar un objetivo que atacaremos enviandole un correo, clonar el Sitio que puede resultar tentador para la víctima (o generar uno nuevo), y ejecutar código malicioso en la víctima al momento de ingresar.

Seleccionando la opción 2), nos encontramos ahora con un menú que nos ofrece la posibilidad de que el Framework cree el sitio con código malicioso por nosotros, clonar uno existente, o importar un website que hayamos diseñado para este ataque en particular.

Seleccionamos nuevamente la opción 2 (Clone and Setup a fake website), y a partir de ahora seleccionamos el tipo de ataque que deseamos realizar:

The Java Applet Attack Method: lo cual requiere que nuestra victima este ejecutando Java en su navegador, lo que implica que en la etapa de recoleccion de informacion, me haya encargado de detectar que este presente.

The Metasploit Browser Exploit Method: donde basicamente el framework ejecuta todos los exploits disponibles en el Metasploit para el navegador utilizado por la victima. Para esto debe tenerse instalado Metasploit en el equipo, actualizado obviamente y a su vez, la victima deberia estar ejecuntando una version del navegador vulnerable.

En nuestro caso, seleccionamos el método del Applet de Java, por lo cual el paso siguiente es crear los valores del Applet para que cuando la víctima acceda vea los datos de un Applet firmado falsamente por una empresa conocida, como por ejemplo SUN, Microsoft, etc. El wizard del Framework es realmente muy intuitivo.

A partir de allí se nos solicita un dato fundamental: la web que queremos clonar, para lo cual debemos colocar la URL completa. Luego seleccionamos el tipo de Payload a utilizar, al estilo Metasploit, por lo cual podríamos elegir por ejemplo Windows Reverse_TCP Meterpreter y a su vez el encoder con el que vamos a trabajar a fin de evadir los controles del Antivirus, en nuestro caso seleccionamos la opción 2 nuevamente, shikata_ga_nai y solicitamos que realice el proceso por 4 veces al menos.

Seleccionamos en que puerto queremos que el framework levante el sitio y quede a la escucha, por ejemplo el puerto 80

Seleccionamos si queremos que los Payload sean generados para Linux y para MacOS, y en caso de así desearlo, seleccionamos en que puertos escuchara para esas aplicaciones (por ejemplo 8080 para OSX y 8081 para Linux).

Luego, SET nos propone iniciar un servicio de Sendmail para enviar los correos a nuestras víctimas, pero si seleccionamos NO, nos aparece un nuevo menú que nos ofrece enviar ataques masivo o particulares. Si seleccionamos la opción particular (E-mail Attack Single Email Address), el framework nos solicita especificar la dirección de correo de nuestra víctima, y luego nos pregunta si usaremos Gmail para enviar el ataque o nuestro propio servidor de correo electrónico. En cualquiera de los casos, los próximos pasos serán completar los datos de nuestra cuenta, el subjet del mail y por el ultimo el texto del mail con el engaño y el link al webserver que hemos levantado para que nuestra víctima caiga en la trampa. Obviamente, en un ataque real, en vez de poner el link apuntando a nuestro webserver, por lo general lo ponemos a un dominio gratuito que primero redirecciona a la víctima hacia nuestro equipo para que nosotros le mostremos la web clonada y luego lo redireccionemos al sitio real.

Hecho esto, SET se conecta a nuestra cuenta, envía el correo y nos deja una sesión de Meterpreter a la espera de que nuestra víctima haga click… el resto es historia conocida 😛

Anuncios

2 comentarios to “Social Engineering Toolkit & Web Cloning Attack”

  1. excelente el articulo pana felicidades


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: