martes, 25 de diciembre de 2018

¿En qué escenario podemos utilizar Atenea?

Ayer presenté Atenea, una nueva tool que he desarrollado. Ya quedó claro que uno de los puntos débiles del ataque podría ser el tiempo que tendríamos que esperar hasta sacar el número de teléfono, y más aún si lo que queremos sacar es el nombre. Tenemos que hacer algo para tener entretenido al usuario, a la víctima para que no sospeche nada, pero ¿qué hacer?.


Lo que voy a hacer va a ser exponer un posible escenario, y posteriormente cómo lograr romper el tiempo de la víctima, alargarlo todo lo posible. Como en "La Casa de Papel", cuanto más tiempo lo alarguemos, más ganaremos.

Posible escenario

Hemos empezado nuestro ataque con un ARP y DNS SPOOFING en un entorno de Man In The Middle. Estamos en medio de la conexión y podemos monitorizar todo el tráfico de la víctima.

Aquí lo que podemos hacer es tirar de nuevo de tcpdump y comprobar qué es lo que mira. Esperar si se mete en alguna web en HTTP de la que podamos obtener información útil.


Por ejemplo, si visita mucho páginas donde se hable de Game of Thrones, podremos deducir que le gusta Juego de Tronos. Esto ya nos puede ser de utilidad, pues sin utilizar OSINT, estamos sabiendo ya mucho. Además que no siempre sabremos la identidad de nuestra víctima. Imaginad que esto se hace en una gran empresa donde nos colamos. No tenemos por qué saber el perfil de Twitter o Facebook de cada persona.

Por esto es tan importante utilizar HTTPS, no por el cifrado en tránsito en sí, que también, sino para no permitir casos como estos en los que podemos saber información de nuestra víctima mirando simplemente las webs por las que navega. Con HTTPS no lo tendríamos tan fácil, aunque, como hemos visto, podríamos utilizar un side-channel, pero un side-channel no es tan fácil de encontrar, os lo aseguro.

Pero ¿Para qué nos puede servir esto de saber lo que le gusta a nuestra víctima?

Tan sencillo como fabricar un anzuelo fuerte para la víctima y siempre recordando que nuestra intención es alargar el tiempo. Hacer que pase el tiempo y que la víctima no se de cuenta de que está recibiendo el ataque.


A mí lo que se me ha ocurrido es montar una web falsa de Netflix con algunos episodios de algunas series para que así, mientras el usuario ve las series que les gusta; algo que sabemos gracias al proceso anteriormente descrito, estaría recibiendo el ataque.

Lo que tenemos que lograr es que se pulse en ese botón que pide actualizar el Flash. Lo que hará esto es descargar la tool Atenea (ahora vemos cómo ejecutarla) y se preparará para la ejecución de la misma.

He pensado en Netflix(Por cierto, Chema, te he quitado VirtualHero y me la he llevado a "mi Netflix" xD ) porque podrá reproducir los vídeos de los episodios en pantalla completa, mientras se le van abriendo popups secundarios, es decir, que al tener en pantalla completa nuestro Fake Netflix, por detrás de la página principal, Netflix, se abrirán las peticiones hacia Google Contacts, algo de lo que el usuario no se percatará. Esto Con JavaScript es posible, y de nuevo, volvemos al tema de cómo de dañino podría ser el código JavaScript tal y como vimos en cómo abrir scripts de Linux con NodeJS.

Lo que se plantea es que un código JavaScript genere ese popup como ventana secundaria. El usuario estará viendo nuestro Fake Netflix, y además, podríamos hacer que se ejecute nuestra Atenea con ese mismo código JavaScript.

Por supuesto tendríamos que cambiar nuestra Atenea (la cuál pasaría a ser nuestro Caballo de Troya) para que en lugar de crear la shell, se ejecute directamente.

Y ojo, porque si en 2-4 minutos podemos sacar un número de teléfono, imaginad la de números de teléfonos que podríamos sacar en 40 minutos que dure un episodio. Podríamos sacar unos 10 contactos. Sólo tenemos que buscarnos la forma de que vea, cuantos más episodios mejor; de ahí la importancia de analizar el tráfico o utiliza bien OSINT para que el anzuelo sea lo más fuerte posible.

Si conseguimos que vea tan sólo 3 episodios de una serie de 40 minutos cada episodio, sacaríamos 30 contactos, que ya es una buena lista para ataques futuros.

Ahora os toca a vosotros jugar con esto y mejorar mi ataque. Es posible, lo sé, yo he hecho esto deprisa y ha salido todo esto, imaginad si se le dedica el tiempo necesario. Investigad y cread.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...