viernes, 10 de enero de 2014

Social Engineering Toolkit (SET)


Hoy os voy a hablar de una magnífica suite que no puede faltar en nuestro arsenal de herramientas:


Este kit de herramientas está dedicado básicamente a la Ingeniería Social, así que primero vamos a ver qué es esto de la Ingeniería Social antes de explicar la suite.

¿Qué es la Ingeniería Social?
Es el medio por el que una persona puede obtener algo de su interés que proviene de otra persona.
Ver Wikipedia.

El principio que sustenta la Ingeniería Social es que en cualquier sistema "el usuario es el eslabón más débil".

Esta técnica está presente en muchos ámbitos de nuestra vida y de seguro que la hemos usado más de una vez sin darnos cuenta
(o sí).

Imaginemos por un momento que tenemos el chat de la chica o el chico que nos gusta.
Nunca hemos hablado porque, aunque ya nos hemos cruzado varias veces, no nos conocemos de nada y nos dá verguenza entablar una conversación sin más.
Sabemos que le gustan los deportes y un prototipo específico de persona, así que aprovechamos esa información para poder mantener una conversación fluida por chat.
A lo largo de la semana vamos cogiendo confianza, hablamos cada vez que podemos de temas que sabemos que le interesan y comenzamos a hacer que se fije en nosotr@s poco a poco para así conseguir una cita. (Resumidito ¿no?).

El medio por el que hemos conseguido esta cita, es decir, aprovecharnos de lo que sabemos sobre el/ella (gustos, valores, etc) es lo que se denomina Ingeniería Social, así que, como he dicho antes, esta técnica la hemos usado muchas veces aún sin saber como se llama.

Ahora que nos vamos haciendo una idea de qué es, vamos a orientarlo a nuestro campo, la Seguridad Informática.

Ya que estamos imaginativos, vamos a volver a pensar en otro escenario. xD

Queremos conseguir la contraseña de Facebook de nuestr@ novi@.
Para ello, creamos una página idéntica a la de Facebook para que cuando intente acceder, recoja los datos introducidos y nos los muestre.
Ahora enviamos nuestra url para que acceda a "Facebook" y decimos por ejemplo que queremos que vea la nueva publicación que hemos puesto diciendo lo tanto que la/le queremos.
Una vez acceda tendremos su usuario y contraseña en texto plano para acceder cuando queramos a su cuenta.

Supongo que no hace falta explicar que, aparte de lo inmoral que es, esto es totalmente ilegal ¿No?

Bueno, como explicación para entender cómo se puede utilizar la Ingenieria Social en el mundo de la Seguridad Informática nos vale.

Hablando de Ingeniería Social, no podemos pasar por alto hablar de Kevin Mitnick, uno de los ingenieros sociales más famosos de los últimos tiempos.

Fotografía: Kevin Mitnick

Su nick o apodo fue Cóndor. También apodado por él mismo como "fantasma de los cables" ya que utilizaba la Ingeniería Social para conseguir entrar en sistemas informáticos.

Kevin Mitnick fué procesado por varios delitos electrónicos en 1981, 1983 y 1987, hasta que lo detuvieron por última vez en 1995 tras ser acusado de entrar en algunos de los ordenadores más seguros de los Estados Unidos.

Esta última detención dió lugar a que se escribiesen varios libros y peliculas sobre su vida.
De entre todos destaca la novela Takedown, que relata su último arresto, y de la cual han sacado una película con el mismo título, Takedown, en el año 2000.

Otra novela algo menos conocida es The Fugitive Game, escrita por Jonathan Littman. En ella también se narran los hechos acontecidos los últimos años antes de su arresto, aunque desde una perspectiva más intimista y no tan enfocada al autobombo por parte de los captores como la anterior.

Kevin se dedica desde que salió de la cárcel en 2002 a la consultoría y el asesoramiento en materia de seguridad, a través de su compañía Mitnick Security (anteriormente llamada Defensive Thinking).


Bien, ahora nos toca hablar de SET (Social Engineering Toolkit).

El propósito principal de SET es aportar a la comunidad y a los auditores la posibilidad
de utilizar pruebas basadas en la ingeniería social para obtener resultados y comprobar la
conciencia de los empleados de una empresa.

La suite la podemos descargar desde aquí, y nos permite realizar distintos ataques automatizados:

Vector de ataque phishing: Este vector automatiza el proceso de envío de correos electrónicos, que llevan adjuntos archivos maliciosos, los cuales contienen algún tipo de exploit, para que cuando la victima reciba el correo adjunto y lo abra, provoquemos una posible explotación de su sistema.

Vector de ataque Web: Este vector nos permite montar plantillas de sitios web o clonar directamente. El objetivo principal es que la victima visite la página web que hemos creado pensando que es el sitio oficial sin pensar que es una falsificación.
En este vector nos encontramos con la posibilidad de realizar los siguientes ataques:

       *Java Applet Attack Method: Se presenta un applet malicioso a la victima que accede a dicha
         web.

       *Metasploit Browser Exploit Method: Tras recibir la petición, ejecuta el exploit configurado
         previamente por el atacante. Se utiliza un iframe que lanza el exploit sobre la máquina victima.

       *Credential Harvester Attack Method: Se clona un sitio web, en el que al introducir las 
         credenciales la victima, éstas son capturadas por el servidor web malicioso.

       *Tabnabbing Attack Method: Este ataque funciona de manera similar al anterior.
         La única diferencia es que cuando la víctima accede al sitio web configurado, obtiene el
         siguiente mensaje: “Please wait while the page loads” (Por favor, espere mientras se carga la 
         página).
         Cuando el usuario cambia de pestaña SET lo detecta y muestra el sitio web malicioso
         capturando las credenciales.

        *Man Left  In The Middle Attack Method: Este ataque permite recolectar información
          mediante interceptación de campos. Se necesita una página web vulnerada, en la cual
          se inyecta un campo como <script src=http://webmaliciosa> ¿Recordáis la anterior
          entrada? xD

        *Web Jacking Attack Method: Este método presenta una página web  con un enlace que 
          indica que el sitio web ha sido movido, y tras pinchar en el enlace se presenta el sitio 
          web malicioso que ha sido clonado del real. Cuando la víctima introduce las credenciales,
          éstas son almacenadas por SET y después se redirige a la víctima a la página real.

        *Multi-Attack Web Method: Este método configura un sitio web malicioso, el cual dispone 
          de varios vectores de ataque cuando la víctima solicite la página web.


Medios o dispositivos infectados: Para este vector de ataque se necesita contacto físico con la víctima. La idea es generar un payload con un fichero de autorun, los cuales se deben instalar mediante un dispositivo externo como un pendrive. Cuando la víctima inserte este medio en su equipo se auto ejecutará el payload comprometiendo la seguridad de su equipo.

Payloads como ejecutables: Esta opción es similar a la anterior, pero simplemente genera el ejecutable malicioso. El atacante deberá buscar la manera de hacer que la víctima ejecute el fichero.

Falsificación de SMS: Este vector es realmente especial, ya que permite spoofear el emisor de un mensaje SMS. Cuando la víctima reciba el SMS aparece como emisor otro número distinto al original. Con esto es posible realizar ataques vía SMS.

- Vector de ataque Wireless: Este vector permite crear un punto de acceso falso, que simule una red. Este punto de acceso proporciona DHCP y DNS, servicios manipulados por el atacante para repartir las direcciones IP e indicar cuál es la dirección IP del servidor DNS, y la dirección IP del router.

- Vector de ataque QRCode: Este vector permite al atacante crear estas imágenes que pueden ser leídas e interpretadas por aplicaciones móviles.

- Vector de ataque PowerShell: Este vector permite al usuario crear pequeños scripts que serán ejecutados en una máquina víctima con el objetivo de obtener una sesión inversa o directa.



Ahora pasemos a la práctica.

Partimos del segundo ejemplo que había mencionado antes, es decir, capturaremos el usuario y contraseña de una supuesta víctima que desea entrar a Facebook.
Para ello, iniciamos SET:




Como podemos ver nos salen varias opciones, seleccionamos la primera opción "Social-Engineering Attacks" tecleando "1" y pulsando Enter.


Seleccionamos la opción 2 "Website Attack Vectors".


 Ahora tenemos que seleccionar el tipo de ataque web que deseamos hacer.
En este caso, utlizaremos la opción 3 "Credential Harvester Attack Method" que como ya hemos explicado consiste en clonar un sitio web para cuando nuestra víctima acceda a ésta podamos capturar sus credenciales.



 Elegimos la opción 2 para clonar la web.



Ahora nos pedirá la IP de nuestro servidor web al que se enviarán mediante POST las credenciales.
En mi caso será una dirección local ya que la víctima es mi otra maquina virtual.
Después tendremos que poner la dirección url del sitio web que deseamos clonar.


Una vez hayamos terminado este proceso, ya tendremos nuestra web clonada y lista para capturar las credenciales.


Ahora si accedemos a la url desde nuestra máquina víctima, veremos una página idéntica a la de Facebook.


  Ingresemos nuestras credenciales y veamos que vería el atacante.


Y listo! Ya tenemos capturadas las credenciales en texto plano, ahora directamente se redireccionará al sitio web legítimo para que pase desapercibido nuestro ataque.

Esto ha sido todo por hoy!!! Les dejo unos enlaces con un poco más de información sobre SET y la Ingeniería Social.

Saludos.


The Official Social Engineering Framework: http://www.social-engineer.org

Libro - Ingeniería Social: El Arte del Hacking Personal: http://www.casadellibro.com/libro-ingenieria-social-el-arte-del-hacking-personal/9788441529656/1867732

SET E-ZINE: http://www.set-ezine.org/index.php?num=37&art=11#top

Video-Tutorial: http://www.youtube.com/watch?v=7j04dAsweW4


**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**

No hay comentarios:

Publicar un comentario