Hacking FOCA

[LUK]

A parte de la forma pensada para trabajar con FOCA que está siendo descrita en el Manual de usuario de la FOCA 2.5, muchas de las nuevas funcionalidades de la FOCA van apareciendo a partir de usar la herramienta de una manera “tricky”, es decir, de “hackear” su funcionamiento para conseguir algunos resultados mejorados. En esta serie os voy a poner tres usos que hemos pensado y utilizado de la herramienta en su versión actual y que acabarán por convertirse en parte del funcionamiento normal de la misma en próximas versiones.

FOCA & Evilgrade

Evilgrade es un framework que creó inicialmente Francisco Amato, la herramienta está pensada para, una vez realizado un ataque de DNS Poisoing, suplantar a los servidores que son comprobados por los clientes para buscar actualizaciones y troyanizar la máquina mediante una actualización maliciosa.

La idea es genial y, en la versión que liberará la próxima semana y que presentó en Defcon 18 y Black Hat 2010, tendrá 53 módulos distintos para hacer ataques de este tipo. En la mayoría de los módulos se consigue ejecución directa, en otros es necesaria una pequeña intervención del usuario haciendo clic en algún mensaje de alerta y en otros, como en el caso de Windows Update, es mediante la suplantación de la página web original para hacer un phishing.

Como FOCA incorpora un módulo de DNS Caché Snooping, una de las ideas para sacarle más partido a la información extraída es generar un fichero con todos los servidores para los cuales Evilgrade tiene un módulo de ataque. De esta manera, FOCA puede descubrir cuáles son los módulos a preparar en un ataque con Evilgrade en un pentesting de una empresa.

Francisco Amato nos ha pasado un fichero con los nombres de dominio, y éste es el resultado al pasarlo por algunas organizaciones con el módulo de DNS Caché Snooping de FOCA 2.5

En la Renfe, como se puede ver, además de tener máquinas con Windows que visitan sitios con Google Analytics, para los cuales tiene un módulo de ataque preparado Evilgrade, tiene como curiosidad que los usuarios navegan a winscp.com, que es la página de un cliente FTP que tiene activada la búsqueda de actualizaciones y al menos alguno de ellos tiene instalado el Antimalware de ClamAV.

Figura 1: DNS Caché Snooping de Evilgrade a Renfe.es

En la UNED, además de Windows y Google Analytics, se podría hacer un ataque al sistema de actualizaciones de Cygwin.com.

Figura 2: DNS Caché Snooping de Evilgrade a la UNED

Por último, en el ayuntamiento de Getafe, que compite con nuestro Móstoles - en vano } - por ser la capital del sur, se podría hacer uso también de los módulos para el sistema de actualizaciones de autoitscript.com y vmware.com.

Figura 3: DNS Caché Snooping de Evilgrade al ayuntamiento de Getafe

El fichero de Evilgrade.txt se puede generar desde el framework con un simple show vhosts, pero para la próxima mini-release de la FOCA que saldrá a finales de la semana que viene con algunos arreglos a pequeños fallos, ya vendrá incorporado. Además, en el futuro incorporaremos esta búsqueda de forma automatizada en FOCA.

[LUK]

Con la salida de la versión 2.5.1, vamos a continuar con esta serie para sacarle un poco más de partido a la FOCA de lo que se puede sacar con las opciones por defecto.

Forzado de escaneo de PTR interno

La segunda parte de este artículo va dedicada al uso de otra parte que necesita convertirse en un apartado de la FOCA en el futuro. El escaneo de PTR de un servidor DNS a rangos internos de la red, a pesar de que no se haya descubierto ninguna dirección IP interna.

¿Y esto que quier decir? Pues hasta el momento, el algoritmo de búsqueda DNS que aplica FOCA está pensado para escanear automáticamente, usando los registros PTR de un servidor DNS, todos los segmentos de red de los que se haya encontrado una dirección IP interna.

Ahora bien, supongamos el caso de que estamos escaneando una organización, de la que sabemos, o suponemos, el rango de direcciones IP. Si FOCA no es capaz de encontrar ninguna IP interna no va a escanear el rango. ¿Solución?

Pues forzar a que la FOCA la encuentre. Para hacer que FOCA encuentre alguna dirección del rango que queremos escanear, lo único que hay que hacer es crearse un documento OpenOffice o Microsoft Office que tenga hipervínculos a direcciones IPs de rangos internos.

Figura 1: Fichero xlsx con un link a un rango interno

Bastará después con añadir este fichero manualmente al proyecto. Teniendo en cuenta que FOCA busca la información de los links almacenados en documentos ofimáticos, FOCA descubrirá los rangos que nos interesa.

Figura 2: IP encontrada tras analizar metadatos

Por último, ya se podrá lanzar el algorítmo de búsqueda contra el sitio seleccionando sólo la opción de IP Range, que hará un escaneo de PTR sobre 1 o todos los DNS, según las opciones seleccionadas.

Figura 3: Configuración de IP Range en el DNS Search Panel

Y listo, basta a dar al botón de Start y FOCA analizará todo el rango.

Figura 4: Resultados

[LUK]

Spidering + FOCA

Una de las características que tiene la FOCA es que busca información publicada en Internet. La pregunta que surge a colación es : ¿Cómo usamos FOCA con un servidor interno en una organización o como lanzamos FOCA para que analice links que no están en la base de datos de los buscadores?.

La solución "fácil" sería que FOCA trajera un motor de Spidering que, dado un servidor web, fuera buscando todas los links en todas las páginas. Sin embargo, hacer un motor de Spidering no es trivial. Pero... si podemos usar uno externo y cargarle la información a la FOCA haciendo un pequeño truco.

Generación de un fichero de Spidering

Para conseguri las URLS del sitio que se quiere analizar se va a utilizar Burp Suite. Esta herramienta es... bueno, si te dedicas a seguridad web seguro que ya la conoces. Funciona como un proxy local, y entre otras de sus funciones tiene la posibilidad de hacer un spidering completo de un sitio que hayas visiado.

Figura 1: Activación de spidering en un sitio

Cuando se activa un spidering a un sitio, hay que definir el ámbito. Lo recomendable, a la hora de trabajar con FOCA, es realizar un spidering completo de todo el dominio, así que habría que marcar el ámbito para todo el dominio. No obstante, para este ejemplo, sólo está marcado el servidor como ámbito para la araña.

Figura 2: Spidering del sitio

Una vez que se ha generado la estructura del sitio, necesitamos exportar la lista de todas esas URLS a un fichero de tipo txt. Tal y como se puede ver en la Figura 2, hay una opción que es Copy URLs, así que nada, a copiar y pegar en la herramiente más poderosa jamás creada: El Bloc de Notas.

Figura 3: URLs del sitio

Carga de URLS en la FOCA

El siguiente paso es darle de comer a la FOCA y para ello, desde el panel de documentos, hay que hacer uso a una opción muy chula que es: "Añadir links desde un fichero". Esta opción lleva hay desde las primeras versiones de la FOCA, pero pocos se dan cuenta de ella.

Figura 4: Añadir links desde archivo

Después de cargar esos links, aparecerán todos como si fueran URLS de documentos a descargar (puedes hacerlo y la FOCA se comportará como una herramienta de download), pero automáticamente comenzará el motor de análisis de URLS a trabajar.

Figura 5: Análisis a partir de URLS cargadas

Una vez dentro esta información, puedes completar el análisis con el resto de las opciones.

Finalización

En esta serie hay tres formas curisosas de utilizar la FOCA para detectar objetivos de Evilgrade, para realizar escaneos de PTR en dominios internos y para analizar sitios no publicados en los buscadores usando Burp Suite. Cualquier idéa, trick, o curiosidad de la FOCA que conozcaís... pasádnola please!

Saludos Malignos!

Publicado en Un informático en el lado del Mal.

[isula]

Laguien me puede indicar como bajar el programa.. intente bajarlo varias veces y me sale un mensaje que mi cuenta de correo es invalida.

[hystd]

A mi parecer, esta herramienta es un 3 en 1, que no incopora ninguna utilidad que no pudiese hacerse con otras herramientas que ya existieran mucho antes. La tercera opción por ejemplo es un web-crawler, y por cierto, aunque no he probado la herramienta para opinar con propiedad, por lo que dice la noticia, parece que es bastante fácil de implementar (sólo hay que parsear el código HTML de la página "raiz" y hacer un DFS en base a los enlaces, evitando la recursión infinita... y digo esto porque en este caso si puedo dar mi opinión personal bajo el punto de vista del diseñador de un web-crawler).

PD: Lo que si hay que admitir es que la foca es graciosa.

Un saludo.