Implementación de ataques basados en DNS Spoofing

1. Víctor Calvo Vilaplana Implementación de ataques basados en DNS Spoofing

2. INDICE 0 – Introducción 1 - Funcionamiento básico entre el usuario y el servidor DNS 2 - Como suplantar el servidor DNS original por el “maligno” 3 - Posibles ataques con servidores DNS ilegítimos 3.1 - Ataque básico 3.2 - Algo más grave, visitando webs espejo 3.3 - Infectando a la víctima 3.4 - Otra forma de mentir, pdf malignos 3.5 - Creando una bootnet con JavaScript 4 - Evitando ataques de DNS Spoofing 5 - Conclusión

3. Introducción • ¿Utilidad del servidor DNS? www.uv.es 147.156.1.4 • ¿Qué es un ataque basado en DNS spoofing? www.uv.es 192.168.0.102 • Finalidad de estos ataques: • Robo de datos • Infección de ordenadores • Creación de bootnets

4. 1 - Funcionamiento básico entre el usuario y el servidor DNS Funcionamiento correcto:

5. 1 - Funcionamiento básico entre el usuario y el servidor DNS Cuando se realiza un ataque de DNS spoofing:

6. 2 - Como suplantar el servidor DNS original por el “maligno” www.routerpwn.com • Tenemos acceso físico. • Estamos en la misma red obtener acceso al router. • Clave por defecto. • Ataques de fuerza bruta. • Exploits.

7. 2 - Como suplantar el servidor DNS original por el “maligno” www.shodanhq.com • Clave por defecto. • Ataques de fuerza bruta. • Exploits. • Ataque remoto: • Conocemos la IP del objetivo. • Búsquedas por Shodan.

8. 3 - Posibles ataques con servidores DNS ilegítimos” 3.1 - Ataque básico. 3.2 - Algo más grave, visitando webs espejo. 3.3 - Infectando a la víctima. 3.4 - Otra forma de mentir, pdf malignos. 3.5 - Creando una bootnet con JavaScript.

9. 3.1 - Ataque básico. El ataque consiste simplemente en redirigir una página a otra. Entramos en correu.uv.es

10. 3.1 - Ataque básico. ¿Cómo saber si la web visitada es la correcta? Vemos que la dirección de correu.uv.es es igual que la del servidor DNS, y lo peor es que no pertenece al rango de la universidad 147.156.0.0/16.

11. 3.2 - Algo más grave, visitando webs espejo • Robo de datos del usuario ¿Es la autentica web de Facebook? Aparentemente si, pero…. Esto puede ocasionar

12. 3.3 – Infectando a la víctima Redirigimos a la víctima a una web modificada Obtenemos el control del ordenador de la víctima Utilizando un applet de Java modificado que la víctima ejecutará. Utilizaremos S.E.T

13. 3.4 - Otra forma de mentir, pdf malignos Duplicamos una web y lo sustituimos por uno legítimo Obtenemos el control del ordenador de la víctima Generamos un pdf modificado con Metasploit

14. 3.5 - Creando una bootnet con JavaScript Podemos redirigir a nuestras víctimas a webs espejo modificadas con el JavaScript de Beef Beef nos permite con la ayuda un código JavaScript inyectado en una web vulnerable tomar el control de sus visitantes.

15. 4 - Evitando ataques de DNS Spoofing Cambiar los parámetros de usuario/contraseña del router. Introducir los datos del servidor DNS a mano en el SO. Tener siempre actualizado el SO, sobre todo, el lector pdf y Java. Tecnología DNS-Sec (la tienen que implementar los servidores).

16. 5 – Conclusión Descartemos la idea de “¿por qué van a atacarme a mi si no tengo nada interesante que robar?”, ya que podemos ser escogidos al azar. Ningún SO es inmune a amenazas, como muestra el reciente caso de OS X y 600.000 MAC infectados. ¡CUIDADO!, los ataques aquí mostrados son ilegales.

17. FIN ¿DUDAS? ¿INSULTOS? ¿AMENAZAS?