Saltar a contenido

Man-in-the-Middle Attacks

Man-in-the-Middle Attacks

Los ataques Man-in-the-Middle (MitM) son una forma popular para que los pentesters puedan obtener información de un usuario sin que este lo sepa. Estos ataques requieren tres componentes para ser exitosos:

  1. La víctima: Intenta comunicarse con algún tipo de entidad, ya sea una aplicación web o un servidor web.
  2. El atacante: Intercepta la comunicación de la víctima.
  3. El componente crítico: La víctima no sabe que hay un atacante en el medio que está interceptando o retransmitiendo la información, ya sea una dirección DNS o IP. Esto le da al atacante la ventaja de poder engañar al usuario.

Esto puede suceder, por ejemplo, cuando alguien intenta iniciar sesión en un sitio bancario y desea confirmar alguna información de contacto, o cuando se envía un correo de phishing exitoso. Una vez que el usuario hace clic en el enlace del correo, se redirige a otro sitio, donde el usuario ingresa información que el atacante puede capturar, o se envía un enlace al usuario, que al hacer clic descarga un payload y luego se coloca algún tipo de sniffer de contraseñas o cookies en esa máquina.

Core Impact Man in the Middle Attack Diagram

Intentaremos cubrir algunos de estos aspectos desde el punto de vista del phishing y de la aplicación web hoy dentro de Core Impact.

Configuración del Usuario

Para este entrenamiento tenemos un laboratorio configurado, pero si estás realizando tu propio phishing, podrías configurar algo por separado o usar un relé SMTP. Realmente depende del entorno.

Comenzaremos configurando un par de usuarios importando usuarios o identificando usuarios. Para este ejemplo, lo llamaremos "test user collection" y "victim" en localhost. En el mundo real, realmente tendrías un destinatario que es parte de un entorno de correo electrónico.

Core Impact New User Setup Screen

Si quisiéramos poner algo de un usuario legítimo, no tienes que ser parte de su entorno de correo electrónico. Dentro de Core Impact, simplemente puedes poner cualquier correo electrónico que desees. Todo lo que necesitas hacer es reléarlo y luego en este lado, tenemos este usuario iniciando sesión y recibiendo el correo.

Campaña de Phishing

Ahora tenemos un atacante y una víctima. Para este ejemplo, iremos directamente a la carpeta de exploits y haremos clic en el exploit “Client-Side Phishing (Web Page Clone)”. Vamos a clonar un sitio web y enviárselo al usuario. Cuando haga clic en el enlace, será redirigido a otro lugar. Una vez allí, les pediremos que ingresen sus credenciales para poder capturar esa información. Si tienes un servidor SMTP que deseas utilizar, lo configurarías aquí, junto con el nombre de usuario y la contraseña.

Core Impact Phishing Campaign Screenshot

Credenciales de Usuario

Para este ejemplo, supongamos que vamos a la pantalla de inicio de sesión de LinkedIn y después los redirigimos a LinkedIn para que no noten la diferencia. Puedes revisar en el log del módulo para ver qué está sucediendo y si se envió correctamente.

Core Impact Phishing Module Log

Ahora volveremos al usuario al que envié el correo electrónico. El usuario dice “Oh no, tengo que actualizar mi seguridad. Voy al portal.” Así que hace clic en el enlace y es redirigido a LinkedIn. El usuario ingresa un correo electrónico y una contraseña para iniciar sesión.

Core Impact LinkedIn Phishing Campaign

Veamos qué está sucediendo en Core Impact. Ahora podemos ver lo que realmente han enviado en el área de "Quick Information". Ahora podemos llevar esto al lado de la red y comenzar a realizar algunos ataques. Este fue un método rápido de realizar un ataque Man-in-the-Middle utilizando phishing.

Empaquetado de Agentes

Otra técnica que puedes utilizar es empaquetar un agente y enviarlo por correo electrónico. Un agente es realmente solo un payload y Core Impact tiene un par de formas diferentes de hacerlo. Puedes hacerlo mediante un enlace descargable o directamente como un ejecutable, o podrías empaquetarlo en un script VBA. Para este ejemplo, simplemente lo enviaremos como un ejecutable.

Haz clic en “Send Agent by E-Mail” y ajusta tus parámetros.

Core Impact Agent Packaging

En este ejemplo, la víctima pensará que hay actualizaciones de seguridad y verá que hay ejecutables. Harán clic para descargarlo.

En Core Impact, toda esta información ha sido capturada. Y como estamos enviando un payload real, lo que queremos ver en Core es que si el usuario hace clic en el enlace, luego descarga el payload y un agente se coloca en la máquina.

No solo tenemos sus credenciales, sino que también tenemos un payload en su máquina. Y esto es realmente lo que quieres cuando tienes Core Impact. Quieres poder desplegar agentes de alguna manera. Si haces clic derecho en el agente, ahora tienes una variedad de capacidades que podrías ejecutar desde aquí.

Transcripción del Video:

  1. Introducción:
  2. Buenas tardes, soy James Adams, ingeniero de ventas en Core Security.

  3. Hoy cubriremos ataques Man-in-the-Middle y algunas formas de olfatear credenciales después de una campaña de phishing exitosa o un ataque de aplicación web.

  4. Ataques Man-in-the-Middle:

  5. Los ataques MitM son importantes y populares, y te dan ventajas para tomar información de un usuario mientras este piensa que es legítimo.

  6. Estos ataques requieren tres componentes: la víctima, la entidad con la que se comunica y el atacante que intercepta la comunicación.

  7. Configuración y Ejecución de Phishing:

  8. Configuramos una campaña de phishing para engañar a la víctima y capturar sus credenciales.
  9. Utilizamos Core Impact para clonar un sitio web y enviar el enlace a la víctima.

  10. La víctima ingresa sus credenciales en el sitio clonado, que nosotros capturamos y utilizamos para posteriores ataques en la red.

  11. Empaquetado de Agentes:

  12. Enviamos un agente empaquetado como un ejecutable mediante un correo electrónico de phishing.
  13. La víctima descarga y ejecuta el archivo, lo que despliega un agente en su máquina.

  14. Esto nos da control sobre la máquina de la víctima y la capacidad de realizar más acciones de post-explotación.

  15. Sniffing de Credenciales:

  16. Utilizamos un plugin de Wireshark para capturar credenciales y otra información útil de la víctima.

  17. Configuramos y ejecutamos sniffers de contraseñas y cookies para obtener más datos del tráfico de red de la víctima.

  18. Ataques en Aplicaciones Web:

  19. Realizamos ataques de cross-site scripting para insertar scripts maliciosos en las páginas web que la víctima visita.
  20. Capturamos información adicional y credenciales utilizando estos scripts.

En resumen, Core Impact ofrece herramientas potentes para realizar ataques MitM y capturar información valiosa de las víctimas, permitiendo a los pentesters realizar una evaluación exhaustiva de la seguridad de las redes y aplicaciones.