lunes, 9 de abril de 2018

How somebody fucked my girlfriend...yes, again [PARTE X]

*****************************************************************************
How somebody fucked my girlfriend...yes, again [PARTE I]
How somebody fucked my girlfriend...yes,gain [PARTE II]
How somebody fucked my girlfriend...yes, again [PARTE III]
How somebody fucked my girlfriend...yes, again [PARTE IV] 
How somebody fucked my girlfriend...yes, again [PARTE V] 
How somebody fucked my girlfriend...yes, again [PARTE VI] 
How somebody fucked my girlfriend...yes, again [PARTE VII] 
How somebody fucked my girlfriend...yes, again [PARTE VIII] 
How somebody fucked my girlfriend...yes,again [PARTE IX] 
How somebody fucked my girlfriend...yes, again [PARTE X]
******************************************************************************

Ayer ya vimos que se me tenía que ocurrir un plan en menos de un día y medio{si es que el atacante grabó nuestra conversación}. Así que al llegar a casa, me puse a pensar como un loco formas de obtener la identidad de este usuario sabiendo solamente la IP de la máquina virtual con las que atacó a mi pareja. No tenía manera de conocer la IP de su máquina anfitriona{o al menos no conocía yo ninguna técnica para eso}. A mí me iba a bastar solamente con obtener su dirección de correo electrónico, para buscarlo en Linkedin, Twitter, Instagram y/o Facebook. Pensaba y pensaba pero no caía en nada, iba a ser una tarea complicada.


Yo lo que estaba pensando es "¿De qué manera puedo  hacer que conforme el atacante reciba la IP, saber yo su dirección de correo?" . Recuerdo que salí a comprar algunas cosas para un proyecto, saqué las llaves de mi bolsillo y entré en el portal, y ahí, de repente, se me ocurrió cómo lo podría hacer. No sé bien qué fue lo que se me pudo pasar por la cabeza, sólo sé que se me vino de repente.

Posiblemente era que yo entré en el portal con las llaves. Eso {de manera inconsciente} lo tuve que asimilar con la red. Pero la red wifi era gratuita, no tenía password, pero claro, entré al portal, por lo que tuve que relacionar las llaves con el portal cautivo.

¿Qué es el portal cautivo?

Supongo que muchos sabréis lo que es, pero por si acaso, lo explico. El portal cautivo es ese servicio que se incluye en muchos routers para evitar que se conecte todo el mundo a la red. Así pues, cuando te conectas a la red, tendrás que abrir el navegador {o se te abrirá sólo} y tendrás que, o pulsar en un botón que diga "aceptar" o bien, iniciar sesión. Esto es algo que ya conté cuando me encontraba de vacaciones. Así que pensé que lo podía hacer, llamé a mi amigo del bar para decirle que mañana {sábado} iba a ir a verlo y así poder ver el router y configurarlo todo.

Llegó el sábado


El sábado fui a ver a mi amigo y le dije que alguien estaba intentando atacar a mi pareja y que había conseguido {en ese momento no lo sabía si el atacante había caído en la trampa o no} hacer que vaya el domingo al bar y que yo iba a configurar el router para saber quién la está intentando atacar.

Mi amigo me dijo, con ironía "Me encanta la parte en la que preguntas si puedes hacerlo". Es verdad que fui directo y le dije que lo iba a hacer, no si podía, pero bueno, como le dije, yo ya sabía entrar al router porque utilizaba una default password y además le había conseguido un cliente. Mi amigo accedió y me dejó configurar lo que necesitase en el router con la condición de que sólo se viese afectado el posible atacante. Yo le dije que..."¿Dónde está el router?". No podía asegurarle nada porque lo que iba a hacer es crear una web sencillita que obligase a iniciar sesión con la cuenta de Google para sacar su correo, y claro, iba a sacar el de todas las personas que se conectasen a la red y supiesen lo del portal cautivo.

Por esta razón decidí obtener solamente el correo y no la contraseña de la gente que se conectase. Así que cree el portal cautivo poniéndolo con external links la autenticación y en la URL tendría que poner la URL de la web que iba a hacer de portal cautivo. Aquí viene lo mejor.


Crear el portal cautivo no es tan difícil, es más, hay tutoriales en Youtube o incluso en la web de desarrolladores de Google te explican cómo hacerlo de forma sencilla. Por supuesto, los resultados no los vamos a mostrar por consola, sino que podemos generar un txt o que lo meta en una base de datos. Aquí ya depende de loq ue nosotros queramos.


La web con el portal cautivo sería tan simple como un botón que abrirá una ventana con el inicio de sesión en gmail.


Esta es una opción, aunque también podemos tirar de Phishing haciendo que en vez del inicio en tu cuenta de Google, sea una web que crees tú. Esto con Bootstrap es realmente sencillo, además de que ya hay proyectos hechos.



Como vemos el resultado es bastante similar, por lo que nos quedaría hacer la conexión con la Base de datos usando PHP y lo tendríamos perfecto. A lo mejor lo que preferimos es generar un txt, eso ya a gusto de cada uno.

Perfeccionando el ataque

Como sabéis, de momento tenemos 2 páginas corriendo en localhost, una la del portal cautivo y otra la del inicio de sesión en una cuenta de Google, el cual es un phishing. Podemos dejarlo así e indicar la dirección IP en el campo URL del external link en la parte de configuración del portal cautivo en el router. En el botón del portal cautivo ponemos un enlace a [IP máquina que contiene el portal]/phishingGoogle.php y listo.

No obstante, ya vi el día de antes que el atacante estaba usando una máquina virtual y con en una red wifi pública, por lo que suponía que el atacante sabía lo que estaba haciendo, así que decidí darle una vuelta más.


A partir de aquí si que comenzamos con el gasto de dinero, por lo que no es un ataque que se pueda hacer por 0 €, pero bueno, le compré un dominio con el nombre de su bar {no, ese no es el dominio por desgracia}. Ahora es cuando sigo apretando las tuercas al ataque.


Iba a hacer que tuviese certificado ssl para que apareciese el candadito verde, algo que mucha gente relaciona con la seguridad cuando no es así.


Ya dije en la entrada de ayer que conseguir un certificado es realmente sencillo a pesar de toda la seguridad en los algoritmos de cifrado. Además el certificado de Comodo, ahí es nada.

Pues por 12€ ya tenía su dominio con Certificado SSL por Comodo Positive SSL, mucha gente vería el candadito y se fiaría a pesar de ser un dominio que utilizaré para alojar una web de portal cautivo con un botón a otra web de Phishing similando ser la de inicio de sesión en tu cuenta de Google.

Otro apretón de tuerca más

Tenemos el dominio del bar de mi amigo por menos de 12€, pero claro, la web de Phishing no la podemos meter en el mismo servidor, no sería creíble, por lo que aquí tenemos 2 opciones.


 
 
La primera opción es la de atacar para la explotación de cambios de servidores DNS tal y como explica Leonardo Nve. Esto n será posible, pues, para empezar, el atacante aún no estaría dentro de la red, por lo que no puedo hacer el ataque si no está en la misma LAN. Sí que podría cambiar los DNSs del Router, algo que iba a ser fácil porque tenía acceso al router. Aquí da igual si es porque habéis conseguido la clave del router o porque sea vuestro o porque os han dejado acceder, el tema es que puedes cambiar los DNSs y liar algo muy bonito.
Para esta primera opción podemos ayudarnos de dnsmasq que es bastante sencillo de configurar.


Yo os lo muestro con 2 Ubuntu Server, pero que vamos, que dnsmasq lo puedes tener cualquier entorno GNU/Linux haciendo sudo apt-get install dnsmasq. Tienes la opción de añadir nameserver dentro de /etc/resolv.conf, pero realmente no nos va a ser necesario ya que los DNSs que vamos a utilizar son los que existen en /etc/hosts dentro de la máquina con dnsmasq. Lo que hago es decir que la IP 192.168.1.28 es www.cuentas.google.es {que no existe, la real es accounts.google.com}. Así que cuando alguien busque www.cuentas.google.es, le llevará a 192.168.1.28.



Y viceversa, si alguien busca 192.168.1.28 le llevará a www.cuentas.google.es. Con nslookup se puede apreciar como dejamos vendidos a cualquier se que conecte al router y utilice el portal cautivo.



El esquema del ataque mediante DNS es el siguiente, puede parecer muy lioso, pero en realidad es tan sencillo como que un usuario se conecta al punto de acceso y para conseguir una IP mediante DHCP, se le dice que utilice el portal cautivo, el cual contiene un botón que puede ser botón o una imagen escalada con width y height y que sea un <a href> que redireccione a www.cuentas.google.es, y como en el router hemos puesto en el DNS la dirección IP de la máquina Ubuntu Server con dnsmasq, se utiliza el /etc/hosts del Ubuntu Server para las consultas con el DNS, por lo que nos llevará al archivo en el localhost/fakeGoogleLogin.php que hemos creado con Bootstrap simulando ser el login de Google. Ese correo {y no la contraseña} se puede almacenar en una base de datos o en documento de texto utilizando para esto PHP. Una idea de ataque sencilla.

Aquí no saco las credenciales ya que así se lo prometí a mi amigo, pero ojo, que es tan sencillo como utilizar en el router o en la máquina que especifiquemos como default-router, utilizar un sniffer y ya tenemos las credenciales ya que viajarían en texto claro. Así que este vector de ataque con esta implementación la dejo ahí por si alguno quiere investigar y profundizar más.

Segunda forma. Fácil pero caro
 Si no se usase el primer vector de ataque porque consideramos que el atacante de mi pareja al ver el inicio de sesión en HTTP no se va a fiar, simplemente podemos tirar de comprar otro dominio con un certificado SSL por menos de 12 € y listo. Pero no sólo eso, podemos utilizar un enlace TypeSquating con algo como account.gogle.es {sin la 's' final de accounts y sin una 'o'} o mejor aún, tal y como os dije ayer, hay cuentas de correo de administradores de Microsoft, Apple y Movistar por lo que podríamos buscar las credenciales en Pastebin y si lo encontramos utilizar los certificados de estos sitios para nuestro sitio de Phishing, pero ¿Le pasará lo mismo a Google?


Vemos que también, por lo que nuestro sitio de Phishing con Google podría tener certificados emitidos por la propia Google. Yo ahí lo dejo.


Además, para facilitar esta tarea, me he desarrollado un shellscript {yo soy más de sh que de python, aunque si puedo lo paso a .py} donde me realiza esto de forma automatizada en función de un fichero de texto me cada vez que busco en Have I been Pwned, si encuentro una respuesta correcta, me lo anoto. Es verdad que es cutrona, pero este trabajo que me hago yo, cuando publique todo el proyecto, vosotros no lo tendréis que hacer a menos que queráis ampliar el proyecto. Es un proyecto en el que vosotrxs también podéis participar, al más puro estilo GNU/Linux.


Su funcionamiento es sencillo, añades con la opción -n la organización y listo, comprueba si ha sido hackeada o no. Que también os podéis crear vosotrxs vuestras Bases de Datos y hacerlo así un poco más profesional, pero vamos, que eso ya depende de cada unx. Por supuesto, a este proyecto lo he llamado Lucy in the Net with DiamonDNSSL por dos motivos, el primero porque mi novia se llama Lucía, estoy usando el conocimiento de un dominio para aprovecharlo y poder disponer de certificados SSL de dicho dominio. Y segundo, por la canción de The Beatles.


 
 
Así que estas han sido las 2 formas que se podrían utilizar para conocer la dirección de correo electrónico del atacante de mi pareja. Cuando terminé de configurarlo todo ya me volví a casa con mi pareja. Solo quedaba esperar al domingo, me puso le BSO de Rocky para motivarme para el "Gran combate".
Llegó el domingo, llegó el invierno 
Sonó el despertador a las 6:00 de la mañana. Sí, un domingo a las 6:00 de la mañana. Era el día del combate. Yo me puse a hacer mis cosas para calentar y cuando llegó la hora, salimos y a las 13:00 ya estábamos sentados y vi a uno de los hombres que vi el viernes con el ordenador sentado ¡Era él! Me relajé ya que lo vi, conocía ya su cara y sabía que los camareros iban a informar a los clientes que quisieran conectarse a la red pero no se diesen cuenta del portal cautivo.

Antes de ir, revisé por si el atacante creó un deminio con la apk maliciosa. No lo hizo, borré la apk del móvil de mi pareja y nos limitamos a disfrutar del momento con mi novia. Por si acaso, no hablamos de cuestiones profesionales ni de cosas muy personales.

También me percaté que el atacante de mi novia llamó al camarero para preguntar si se había cambiado la red por ese detalle del portal. El camarero respondió que "sí, porque estábamos recibiendo mucho tráfico y provocaba fallos en la red, así que lo hemos limitado". De todo eso me daba cuenta porque el atacante estaba sentado 2 mesas delante nuestra y yo le veía en todo momento la cara. Creo que volvió a intentar atacar a mi novia, pero esta vez no pudo y se fue antes que nosotros.

Que se fuese antes que nosotros me vino de perlas para ir al almacen del bar y mirar lo que sacó en ese rato.


Saqué 4 direcciones de correo sin contar la de mi pareja, que se conectó como cebo para el atacante. Por supuesto no es ninguna de las cuentas que muestro, pero sí que eliminé una cuenta de una chica y me centré en las otras 3. Esas cuentas de correo las busqué por todas las redes sociales, y resulta que en Facebook ¡premio!

Tras cotillear un poco por su Facebook, pude conocer su nombre y de inmediato lo busqué en Linkedin, con lo que pude descubrir que era periodista...nada más que decir, esto era la puta guerra. Un periodista...con lo que confuden hackers con cibercriminales y se estaba portando como un cibercriminal. La puta guerra era esto.


 
 
Recordé la charla de Lorenzo Martinez sobre Cooking an APT...in the paranoid way, así que quise probar yo también esto. La diferencia es que yo lo iba a realizar únicamente sobre una persona de la que ya sabía algo de información. Seguí sus pasos. Ojo, aviso que algunas de las cosas que voy a hacer no son del todo legales, así que si lo hacéis será bajo vuestra propia responsabilidad.

Además conozco a algunas personas en la Policia de Córdoba, así que pregunté para tener las espaldas bien cubiertas y una vez que vi que tenía licencia para hackear, me puse en funcionamiento. Como dijo Lorenzo, aquí hay mucho de psicología y como voy a hacer algunas cosas que son un poco irregulares, hay que hacerlo de forma paranoica. Así que como si estuviésemos en Bricomanía, vamos a decir el material necesario.

Yo lo que usé fue mi ordenador con una máquina virtual con una imagen Live con una antena wireless que tengo. También vas a necesitar una red wifi pública por lo que pueda pasar. Mi pareja y yo vivimos cerca de una biblioteca, así que ese es mi target. Fui a la biblioteca para crearme cuentas que voy a necesitar. Ojito, las cuentas de correo que no destaquen, nada de protonmail ni hushmail. Gmail y Outlook como mucho. Ni si quiera Yahoo. Eso sí, para cuentas de Gmail te pide una anterior o un número de teléfono. Creamos una cuenta en protonmail {correo cifrado} para tenerla de respaldo para las cuentas de Gmail y Outlook {yo me he creado las 2}.

El siguiente paso será comprar un móvil. Importante que no sea en una tienda física donde os hagan factura y os puedan relacionar. Para esto lo mejor es tirar de Wallapop.


Busqué por Wallapop algún móvil barato, me cree una cuenta con un nombre falso, quedé con esa persona y nada más volver a casa, borré la cuenta. Ya tengo móvil, lo que me queda es una SIM. Busqué locutorios por Córdoba y me pasé por ellos y en uno de un Tailandés, me dio la SIM y códigos Ukash. El móvil unos 50€ más unos 40€ de pines Ukash. Llevo 90€+12€ por lo de la web del bar. Es decir, 102€ para hacer lo que estoy contando.

Con los pines Ukash, compré Bitcoins. Todo esto desde la máquina virtual Live, con VPN y en Tor. Todo por lo que pueda pasar. Además utilicé User Agent Switcher. Paranoia al máximo. Con el número de teléfono me cree una cuenta de Whatsapp por si acaso.


Yo conecté con todxs, aquí de perdidos al río, necesitaba muchos amigxs que fuesen periodistas, tanto hombres como mujeres, así que tiré todo pa' lante.


Así quedó mi perfil, sólo tenía que ir agregando gente para tener una gran lista de amigos. Así me tiré todos los días durante 2-3 semanas. Al final se quedó un buen perfil con varios contactos con periodistas [lo que me encontré y me decían, lo mismo lo publico más adelante].

A ver, son periodistas, si se creen lo primero que leen en Internet sin comprobar las fuentes, este perfil se lo tenían que creer sí o sí. Pues bien, cuando ya vi que tenía un perfil bastante creíble, decidí empezar a elaborar un blog personal en HTML. Aquí metí varias cosas curiosas.


Os comento en líneas generales lo que tenía y no tanto el blog. LO que tenía es una función donde iba a sacar el User-Agent para conocer desde dónde navega y si está o no actualizado sobre todo. En lugar de mostrarlo por consola, lo suyo es generar un txt o csv con esta información.


Se puede ver que muestra correctamente el User-agent, por lo que sabemos que funciona.


Si cambiamo de navegador, el user-agent cambia. Funciona todo bien como se puede observar.


En ese enlace de "Siguiente entrada", vamos a llevar a los lectores a otra web donde me encargaré de sacar la IP desde la cul se conectan.


Y me lo guardo en un archivo de texto. Así pues, con todo esto preparado visitaremos el Linkedin del atacante para que nos devuelva la visita y con suerte nos agrege al ver que soy una chica que está de buen ver. Como era de esperar, me quería agregar, ya casi lo tenía.

Me comenzó hablando él, se le veía desesperado, así que eso lo tenía que aprovechar. Hablamos durante unas cuantas semanas, cada vez confiaba más en mi, me preguntaba por mi trabajo, por mi edad, por si estaba soltera {menudo zorro},etc. Pero un día me hizo una pregunta que podía resolver fácilmente. Me preguntó "¿Tienes Whatsapp?". Yo respondí que sí, por lo que si aún tenía dudas, con esto se le tuvieron que despejar todas las dudas.


Lo mejor es que me escribía siempre él sobre la misma hora. Yo cada día me enviaba por correo los chats para revisarlos tranquilamente y estudiarlos y tratar de obtener más información sobre él. Al final del día borraba los chats porque el móvil que compré tampoco tenía mucha memoria. Hubo un día que vi la oportunidad perfecta para darle a conocer mi blog {El de María}. Por cierto, era un cansino con lo de guapa.
 
 
Una vez se conectó, pude obtener su User-agent y su dirección IP pública, por lo que puede sacar una aproximación de dónde vivía. La ubicación que encontré era más precisa, pero por el tema de no aportar mucha información de la persona os muestro todas las posibles zonas en las que puede estar viviendo. Como sabía esto, yo lo podría aprovechar para saber con más exactitud dónde vivía.
 
 
Pues me dijo la avenida y bloque exacto en el que vivía. A él le hacía gracia que éramos vecinos y nos habíamos visto, pero es normal, no puedes ver a quien no existe.
 
Así que me tocó un viaje de nuevo hasta donde vivía él. Esta vez no hice el truco de decir que soy el de Correos, esta vez me quedé en la puerta como si estuviese esperando a que bajase alguien hasta que un amable vecino entró y me dijo "¿Entras?". Yo le dije "Sí, gracias". Lo siguiente era esperar a que el vecino subiese e irme a los buzones y mirar dónde vivía, ya que sabía su nombre gracias a Facebook.
 
Cuando estaba en frente de su puerta, vi que la wifi con una señal más potente era una de PTV Telecom. Ese tipo de redes wifis me las conozco porque he estado bastante en esa compañía y me sé la default password que usan. Por lo que se ve también se dejó sin cambiar la contraseña, tenía acceso a la red.

 
 
Lo que hice, conociendo un poco mejor a la víctima {que antes era atacante} fue usar Autopwn. Autopwn es una forma de entrar en un sistema muy conocido en el mundo de la Seguridad y de Metasploit. Si queréis saber un poco sus orígenes, aquí os dejo el post en el blod de rapid7 donde lo cuentan, pero básicamente es aprovecharse de vulnerabilidades en el navegador de la víctima para lograr acceso a sistema del mismo.


Sus opciones que se deben configurar son sencillas, lhost, srvport y uripath. Los configuramos y lo ponemos a correr.



Tras un rato, nos aparecerá un mensaje donde nos diran que se han cargado todos los exploits en una ip local. Esto se lo enviaremos a la víctima.


Lo que le podemos decir es que se requiere de una nueva versión de java, que es lo que yo hice, ya que le saldrá un mensaje hablándole sobre algo de java. Si cae, solamente tendremos que esperar y ver cómo nos crea la sesión meterpreter y tendremos acceso a la máquina de la víctima.

¿Qué me encontré en la máquina del atacante que ahora es víctima?
 
La verdad es que muy poco. Gran parte de lo encontrado no era demasiado interesante. Lo que sí encontré es la grabación que nos hizo el viernes. Tan sólo me la descargué y la escuché después. Miré un poco más pero no encontré mucho. Algunos documentos, algunas fotos y poco más.
 
Lo que sí hice fue reunir las pruebas del ataque que le realizó a mi pareja, ya que él tenía esa grabación, yo tenía aún la apk y era demostrable que daba a la IP de su equipo en la red wifi del bar [además él tenía la apk en su escritorio], tenía algunos manuales sobre Kali Linux y además estaban los logs de la wifi del bar. También tenía un KeePass del cual no pude averiguar la contraseña pero que igualmente pasaría a la gente de Policia, ya que el trato era que me daban vía libre si le pasaba lo que encontrase y lo usase con motivos académicos.
 
Aún así no denunciamos, simplemente le escribí a su correo diciéndole que sabía todo lo que había estado haciendo y que tenía las evidencias {se las envié}. Le dije que no iba a denunciar si se comportaba correctamente. 
 
El chico me contestó diciendo que lo hizo para conseguir dinero, que sólo lo hace para eso y que siempre usa la misma técnica. Yo le dije que devolviese todo el dinero que hubiese ganado cometiendo delitos, pero no a las víctimas, sino que lo donase a diversas organizaciones sin ánimo de lucro. También le dije que estos últimos días había estado hablando conmigo por Whatsapp y no con María.
 
Por supuesto, le dije que tendría que ir él expresamente y diculparse con mi pareja por todas las molestias que ha ocasionado. Ya por curiosidad le pregunté si la primera persona a la que pillé le dijo el por qué quería hackear a mi pareja. Me lo dijo, pero eso me lo reservo para amigos y familia. Por supuesto de esta historia hay mucho más, pero no lo puedo contar. Ahora eso sí, os puedo decir que estoy preparando otra serie de entradas que tienen mucho que ver con estas. Hasta aquí puedo leer.
 
¿Hackeamos el Mundo?
 
 

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...