LUK
03-09-2010, 09:55
A parte de la forma pensada para trabajar con FOCA (http://www.informatica64.com/FOCA) que está siendo descrita en el Manual de usuario de la FOCA 2.5 (http://elladodelmal.blogspot.com/2010/07/foca-25-free-manual-de-usuario-1-de-6.html), muchas de las nuevas funcionalidades de la FOCA van apareciendo a partir de usar la herramienta de una manera “tricky”, es decir, de “hackear” su funcionamiento para conseguir algunos resultados mejorados. En esta serie os voy a poner tres usos que hemos pensado y utilizado de la herramienta en su versión actual y que acabarán por convertirse en parte del funcionamiento normal de la misma en próximas versiones.
FOCA & Evilgrade
Evilgrade (http://www.infobyte.com.ar/developments.html) es un framework que creó inicialmente Francisco Amato (http://elladodelmal.blogspot.com/2008/12/entrevista-francisco-amato-de-infobyte.html), la herramienta está pensada para, una vez realizado un ataque de DNS Poisoing, suplantar a los servidores que son comprobados por los clientes para buscar actualizaciones y troyanizar la máquina mediante una actualización maliciosa.
La idea es genial y, en la versión que liberará la próxima semana y que presentó en Defcon 18 y Black Hat 2010, tendrá 53 módulos distintos para hacer ataques de este tipo. En la mayoría de los módulos se consigue ejecución directa, en otros es necesaria una pequeña intervención del usuario haciendo clic en algún mensaje de alerta y en otros, como en el caso de Windows Update, es mediante la suplantación de la página web original para hacer un phishing.
Como FOCA incorpora un módulo de DNS Caché Snooping, una de las ideas para sacarle más partido a la información extraída es generar un fichero con todos los servidores para los cuales Evilgrade tiene un módulo de ataque. De esta manera, FOCA puede descubrir cuáles son los módulos a preparar en un ataque con Evilgrade en un pentesting de una empresa.
Francisco Amato nos ha pasado un fichero con los nombres de dominio, y éste es el resultado al pasarlo por algunas organizaciones con el módulo de DNS Caché Snooping de FOCA 2.5
En la Renfe, como se puede ver, además de tener máquinas con Windows que visitan sitios con Google Analytics, para los cuales tiene un módulo de ataque preparado Evilgrade, tiene como curiosidad que los usuarios navegan a winscp.com, que es la página de un cliente FTP que tiene activada la búsqueda de actualizaciones y al menos alguno de ellos tiene instalado el Antimalware de ClamAV.
http://4.bp.blogspot.com/_Y2uWeGSk9Sw/TFoUh75ImVI/AAAAAAAAGrQ/q54M7H5eWoE/s400/FOCA_Evilgrade_Renfe.jpg (http://4.bp.blogspot.com/_Y2uWeGSk9Sw/TFoUh75ImVI/AAAAAAAAGrQ/q54M7H5eWoE/s1600/FOCA_Evilgrade_Renfe.jpg)
Figura 1: DNS Caché Snooping de Evilgrade a Renfe.es
En la UNED, además de Windows y Google Analytics, se podría hacer un ataque al sistema de actualizaciones de Cygwin.com.
http://3.bp.blogspot.com/_Y2uWeGSk9Sw/TFoUifMNftI/AAAAAAAAGrY/9fO29v16QB0/s400/FOCA_Evilgrade_UNED.jpg (http://3.bp.blogspot.com/_Y2uWeGSk9Sw/TFoUifMNftI/AAAAAAAAGrY/9fO29v16QB0/s1600/FOCA_Evilgrade_UNED.jpg)
Figura 2: DNS Caché Snooping de Evilgrade a la UNED
Por último, en el ayuntamiento de Getafe, que compite con nuestro Móstoles - en vano }:) - por ser la capital del sur, se podría hacer uso también de los módulos para el sistema de actualizaciones de autoitscript.com y vmware.com.
http://4.bp.blogspot.com/_Y2uWeGSk9Sw/TFoUhiVp6OI/AAAAAAAAGrI/SBLFDHieD20/s400/FOCA_Evilgrade_Getafe.jpg (http://4.bp.blogspot.com/_Y2uWeGSk9Sw/TFoUhiVp6OI/AAAAAAAAGrI/SBLFDHieD20/s1600/FOCA_Evilgrade_Getafe.jpg)
Figura 3: DNS Caché Snooping de Evilgrade al ayuntamiento de Getafe
El fichero de Evilgrade.txt se puede generar desde el framework con un simple show vhosts, pero para la próxima mini-release de la FOCA que saldrá a finales de la semana que viene con algunos arreglos a pequeños fallos, ya vendrá incorporado. Además, en el futuro incorporaremos esta búsqueda de forma automatizada en FOCA.
FOCA & Evilgrade
Evilgrade (http://www.infobyte.com.ar/developments.html) es un framework que creó inicialmente Francisco Amato (http://elladodelmal.blogspot.com/2008/12/entrevista-francisco-amato-de-infobyte.html), la herramienta está pensada para, una vez realizado un ataque de DNS Poisoing, suplantar a los servidores que son comprobados por los clientes para buscar actualizaciones y troyanizar la máquina mediante una actualización maliciosa.
La idea es genial y, en la versión que liberará la próxima semana y que presentó en Defcon 18 y Black Hat 2010, tendrá 53 módulos distintos para hacer ataques de este tipo. En la mayoría de los módulos se consigue ejecución directa, en otros es necesaria una pequeña intervención del usuario haciendo clic en algún mensaje de alerta y en otros, como en el caso de Windows Update, es mediante la suplantación de la página web original para hacer un phishing.
Como FOCA incorpora un módulo de DNS Caché Snooping, una de las ideas para sacarle más partido a la información extraída es generar un fichero con todos los servidores para los cuales Evilgrade tiene un módulo de ataque. De esta manera, FOCA puede descubrir cuáles son los módulos a preparar en un ataque con Evilgrade en un pentesting de una empresa.
Francisco Amato nos ha pasado un fichero con los nombres de dominio, y éste es el resultado al pasarlo por algunas organizaciones con el módulo de DNS Caché Snooping de FOCA 2.5
En la Renfe, como se puede ver, además de tener máquinas con Windows que visitan sitios con Google Analytics, para los cuales tiene un módulo de ataque preparado Evilgrade, tiene como curiosidad que los usuarios navegan a winscp.com, que es la página de un cliente FTP que tiene activada la búsqueda de actualizaciones y al menos alguno de ellos tiene instalado el Antimalware de ClamAV.
http://4.bp.blogspot.com/_Y2uWeGSk9Sw/TFoUh75ImVI/AAAAAAAAGrQ/q54M7H5eWoE/s400/FOCA_Evilgrade_Renfe.jpg (http://4.bp.blogspot.com/_Y2uWeGSk9Sw/TFoUh75ImVI/AAAAAAAAGrQ/q54M7H5eWoE/s1600/FOCA_Evilgrade_Renfe.jpg)
Figura 1: DNS Caché Snooping de Evilgrade a Renfe.es
En la UNED, además de Windows y Google Analytics, se podría hacer un ataque al sistema de actualizaciones de Cygwin.com.
http://3.bp.blogspot.com/_Y2uWeGSk9Sw/TFoUifMNftI/AAAAAAAAGrY/9fO29v16QB0/s400/FOCA_Evilgrade_UNED.jpg (http://3.bp.blogspot.com/_Y2uWeGSk9Sw/TFoUifMNftI/AAAAAAAAGrY/9fO29v16QB0/s1600/FOCA_Evilgrade_UNED.jpg)
Figura 2: DNS Caché Snooping de Evilgrade a la UNED
Por último, en el ayuntamiento de Getafe, que compite con nuestro Móstoles - en vano }:) - por ser la capital del sur, se podría hacer uso también de los módulos para el sistema de actualizaciones de autoitscript.com y vmware.com.
http://4.bp.blogspot.com/_Y2uWeGSk9Sw/TFoUhiVp6OI/AAAAAAAAGrI/SBLFDHieD20/s400/FOCA_Evilgrade_Getafe.jpg (http://4.bp.blogspot.com/_Y2uWeGSk9Sw/TFoUhiVp6OI/AAAAAAAAGrI/SBLFDHieD20/s1600/FOCA_Evilgrade_Getafe.jpg)
Figura 3: DNS Caché Snooping de Evilgrade al ayuntamiento de Getafe
El fichero de Evilgrade.txt se puede generar desde el framework con un simple show vhosts, pero para la próxima mini-release de la FOCA que saldrá a finales de la semana que viene con algunos arreglos a pequeños fallos, ya vendrá incorporado. Además, en el futuro incorporaremos esta búsqueda de forma automatizada en FOCA.