martes, 14 de mayo de 2013

Ghost Phiser 1.62 Avaible.


Como indica en el nombre del post, hoy os voy a hablar de Ghost Phiser. Tomando como referencia la descripción de la web de los autores, nos queda claro que es una herramienta para "auditar" redes wi-fi/Ethernet con las siguientes perrerías:


  • HTTP Server
  • Inbuilt RFC 1035 DNS Server
  • Inbuilt RFC 2131 DHCP Server
  • Webpage Hosting and Credential Logger (Phishing)
  • Wifi Access point Emulator
  • Session Hijacking (Passive and Ethernet Modes)
  • ARP Cache Poisoning (MITM and DOS Attacks)
  • Penetration using Metasploit Bindings
  • Automatic credential logging using SQlite Database
  • Update Support

  • Muchas funciones son similares a las que comentamos el otro dia en la entrada de Subterfuge.Vamos a ir viéndolas poco a poco para entenderlas mejor.

    La instalación es tan sencilla como descargar el paquete .deb con la penúltima versión... y luego hacer un dpkg -i nombre.deb.  Es curioso que no pueda bajar la última versión directamente, y deba hacerlo mediante el GUI de actualización de la propia tool.


    La ubicación del script para iniciar Ghost Phiser está en /opt/Ghost-phiser/.

    Lo primero que vamos a hacer es habilitar el ARP Poisoning lo que hará que inundaremos la red con solicitudes ARP suplantando la dirección IP de la puerta de enlace, la que nos da salida hacia internet, con la dirección de Ghost Phiser.
    La siguiente opción que vamos a configurar es Fake DNS Server, indicándole que el servidor DNS somos nosotros ( Ghost Phiser) y que todas las resoluciones de URL-IP las ofrecemos nosotros.


    Como se aprecia en la imagen, podemos falsear todas las peticiones DNS hacia nosotros, o podemos concretar que direcciones van a ser resueltas mediante nuestro FAKE DNS, para hacer más selectivo nuestro ataque. El resultado es claro.


    Como se puede apreciar en la imagen, tenemos una dirección URL almacenada en cache que pertenece a una web de un comercio conocido. Hacemos un ipconfig/flushdns para vaciar la cache DNS del equipo local, y así obligar al equipo a hacer la consulta DNS. Vemos como por arte de magia resulta que esa web, ahora está alojada en una dirección ip local 192.168.0.22 ... vamos por el buen camino xD.

    ***Una recomendación básica a la hora de conectarnos a nustras webs preferidas en entornos de baja confianza, como son la red Wi-fi de la cafeteria de turno, biblioteca, centro de trabajo etc es realizar está comprobación, mediante un ping a la url que queremos visitar. Direcciones ip de destino en red local no son sintoma de que estamos acciendo a donde realmente queremos acceder. Otra opción sería realizar un Tracert y ver las rutas que siguen los paquetes hacia una dirección.
    Por supuesto que otra recomendación es entrar a web "seguras" mediante https y revisar el famoso candado a la busqueda de los datos del certificado digital. Esta opción no es infalible, ya que como hablamos hace unos días es posible falsear estos certificados mediante colisiones de hashes, pero con esta recomedación nos quitamos de un plumazo a muchos "oportunistas" xD. ***

    Ya podemos redirigir el tráfico de nuestros compañeros hacia donde queramos. Ahora vamos a montar un servidor Fake Http que muestre la web que queramos. En este caso configuramos una copia de http://gmail.com que será atendida por nuestro Ghost Phiser para todas las solicitudes hechas ( El fake DNS se encargará de brindar acceso a nuestro "Gmail pirata" )


    Para esta demo he usado Gmail, pero sería interesante preparar una web para despistar a los clientes. Por ejemplo, si vamos a efectuar este ataque en la biblioteca de la universidad, pues crear una web con el logotipo de la misma, y un bonito web-form indicando que es necesaria la autenticación mediante Facebook, Gmail, Twitter o similares, para tener acceso a la red Wi-fi... Cuanta gente meterá sus datos de Login?


    Como veis, accedas a donde accedas muestra el form de login de Gmail. Si algún despistado tiene tantas ganas de navegar que introduce sus credenciales, Ghost Phiser recopila estas.

    Simple y efectivo.

    Otro vector de ataque podría ser redirigir las peticiones web hacia un servidor corriendo Metasploit, con el fin de enviar el payload que nos proporcionará acceso meterpreter. Para ello basta con configurar las opciones de Ghost Trap.


    Lo probamos con un cliente web.


    Como siempre os recomiendo, no probéis estos ataques con un Windows Xp Sp2 porque no tiene sentido. Para muestra, aquí os dejo la detección del Antivirus.


    Si quieres aprovechar este vector, te sugiero que ejecutes Metasploit por separado, y establezcas las opciones de Encoding oportunas para evadir la presencia de la shell por el antivirus.

    Vamos a ver las opciones de Hijacking. Como sabéis, es la obtención de cookies de sesión para su posterior uso. Es decir, que si alguien navega por una web autenticada o no, recibiremos sus credenciales a modo de cookie validada, con lo que podremos suplantar su personalidad sin saber el usuario y password.


    Las opciones de Fake Ap no las he podido recrear en la máquina virtual. Como sabéis, virtualbox emula nuestros dispositivos de red en el equipo virtual, pero como si fueran adaptador Ethernet, no Wi-fi. Para poder hacer esto necesitamos un adaptador Wi-Fi por USB que pueda reconocer nuestra máquina virtual como un adaptador inhalámbrico.

    Como podéis ver, esta herramienta hace muy cómodo el trabajo de captura de credenciales y todo lo relacionado con los clásicos ataques de Man In the Middle.

    Ser prudentes con el uso que le dais.

    Como siempre, gracias por leerme y espero que os guste.


    Google +