Conhecendo o DNS Spoofing

O que é o DNS SPOOFING?

Dns Spoofing (ou envenenamento de cache DNS) é um ataque, no qual os dados são introduzidos em um Sistema de Nomes de Dominio (DNS) do banco de dados cache dos nomes do servidor, fazendo com que o nome do servidor redirecione para o endereço IP incorreto, desviando o tráfego para outro computador ou site (muitas vezes o do atacante).

Visão Geral do Sistema de Nomes de Domínio

Um servidor sistema de nome de domínio traduz um nome de domínio legível (como exemplo.com) em um endereço de IP que é usado para encaminhar comunicações entre os sistemas. Normalmente, se o servidor não sabe a tradução solicitada, ele vai pedir outro servidor, e o processo continua de forma continua.

Quando um servidor DNS receber uma tradução não-autêntica e armazenar em cache para otimização de desempenho, considera-se envenenado, e fornece os dados não autênticos para os clientes. Se um servidor DNS é envenenado, ele pode retornar um endereço IP incorreto, desviando o tráfego paraoutro computador (muitas vezes um atacante).

Ataques de Envenenamento de Cache

Normalmente, um computador em rede utiliza um servidor DNS fornecido pela organização dousuário de computador ou um provedor de serviços de Internet (ISP). Os servidores DNS são geralmente implantados na rede de uma organização para melhorar o desempenho de resposta docache dos resultados da consulta anteriormente obtidos. Ataques de envenenamento em um único servidor DNS pode afetar os usuários atendidos diretamente pelo servidor comprometido ou indiretamente pelo seu servidor downstream (s), se aplicável.

Para executar um ataque de envenenamento de cache, o invasor explora uma falha no software DNS.Se o servidor não está validando corretamente respostas DNS para garantir que eles são de uma fonte autorizada (por exemplo, utilizando DNSSEC), o servidor vai acabar em cache, e liberando asentradas incorretas no servidor local e servi-los a outros usuários que fazem o mesmo pedido.

Fonte: Wikipédia em Inglês
Tradução por mim.

Realizando Ataque DNS Spoofing Com Ettercap

No ataque de dns spoofing o atacante pode determinar para qual lugar o usuário vai ser redirecionado quando acessa um determinado domínio. Nesse exemplo estamos utilizando o Backtrack 5(Ou qualquer outro sistema, desde que tenha o Ettercap instalado) como atacante. Bem vamos por a mão na massa.

Primeiramente edite o arquivo etter.dns de acordo com sua necessidade, no nosso caso iremos usar o domínio do facebook como alvo, e iremos colocar o ip de um site pornô como exemplo.

# pico /usr/local/share/ettercape/etter.dns
facebook.com A 69.55.53.97
www.facebook.com A 69.55.53.97

Didática:

facebook.com : Domínio alvo, quando o cliente acessar esse domínio ele será redirecionado para outro lugar.
A : Tipo de redirecionamento de DNS.
69.55.53.97 : IP do site para onde o cliente será redirecionado.

Execução:

# ettercap -T -q -M arp -i eth0 -P dns_spoof //

Didática:

ettercap: Comando da ferramenta utilizada.
-T: Utiliza modo texto.
-q: Seta o modo silencioso.
-M arp: Tipo de redirecionamento.
-i eth0: Interface de rede.
-P dns_spoof: Plugin utilizado para o ataque.
// : Seleciona toda rede.

Agora em algum host da rede acesse o site facebook.com para fazer o teste, veja que você será redirecionado para o ip do site pornográfico que informamos no arquivo etter.dns, é importante lembrar que se tiver alguma proteção contra spoof na rede esse ataque não ira funcionar, quando um cliente acessa o domínio alvo ira aparecer na tela do atacante.
Também é importante lembrar que esse conhecimento é para fins didáticos e não devem ser aplicados sem autorização, qualquer tipo de ataque não autorizado é crime, lembre-se disso, não nos responsabilizamos por qualquer tipo de dano a terceiros

Créditos Originais: Guia de TI
Créditos pelo post: Gabriel - Brutal Security

Read More

Apagando Rastros

E ai pessoal!

Como alguns devem saber, nossa idéia de criar um fórum para o pessoal compartilhar conhecimento e trocar uma idéia não funcionou muito bem. Então vamos acabar com o fórum.

Todos os posts interessantes serão postados aqui no blog com os devidos créditos originais (se disponíveis) e créditos de quem postou no fórum.

Você tem algum conteúdo que gostaria de publicar aqui? Envie seu texto por email para nós ou através do grupo do Facebook.

Vamos começar hoje com o post Apagando Rastros do usuário brayanpoloni:

## Apagando Rastros ##

Objetivos

- Entender a importância de cobrir rastros;
- Conhecer as técnicas para encobrir suas ações;
- Conhecer as ferramentas empregadas;

Por que encobrir rastros?

Um dos objetivos, em um teste de invasão, de utilizar técnicas para encobrir seus rastros e ações, é para testar a eficácia e competência do time de resposta a incidentes e perícia forense caso existam.

As técnicas para apagar rastros também são conhecidas como "anti-forensic".

Não há necessidade desse tipo de ação por parte de um pentester, caso queira deixar as evidências de exploração para posterior análise por parte da equipe de TI da empresa CONTRATANTE. No entanto, caso tenha como objetivo testar, também, a capacidade da equipe de perícia forense em investigar um caso de invasão, é interessante implementar os passos aqui descritos.

O que encobrir?

- Logs de IDS
Onde são armazenadas todas as evidências de tráfego anormal que tenha sido detectado na rede. Isso inclui desde o envio de arquivos maliciosos à varreduras no sistema, em busca de informações.

- Logs de firewall
Logs que guardam as informações filtradas por regras de firewall. Normalmente os administradores, quando criam as regras de firewall, tem por hábito mandar armazenar em log tentativas de varreduras, ataques de brute force e acesso sem autorização a serviços específicos.

- Arquivos copiados no sistema
Qualquer arquivo que tenha sido copiado para o sistema, mesmo que posteriormente seja apagado, deixa rastros que podem ser recuperados com ferramentas específicas.

- Arquivos sendo executados, como backdoors, por exemplo
Todo programa em execução, é reconhecido pelo sistema como um processo, e como um pode ser recuperado da memória. Existem várias formas de mascarar a execução de binários, como por exemplo um rootkit, que substitui binários do sistema por seus próprios, com implementações de códigos maliciosos.

- Logs de comandos
Tudo o que é digitado no terminal é armazenado no .bash_history do usuário, por exemplo. Mesmo que seja apagado, esse arquivo também pode ser recuperado pela equipe de perícia forense.

- Logs de sessão
Quando efetuamos o login e autenticamos uma sessão válida, tudo o que ocorre na mesma é armazenado em logs. Algumas organizações possuem, inclusive, servidores exclusivos para armazenamento e gerenciamento de logs. No linux, a maioria dos logs ficam armazenados em /var/log.

Técnicas

- Sobreescrita de dados
Quando apagamos algo em um disco, os dados são apenas marcados para a deleção e não realmente apagados. Os dados marcados para a deleção, são apagados apenas quando o sistema operacional utiliza os mesmos blocos do disco para gravar novos dados, realizando a sobreescrita. Quanto mais vezes aquele mesmo setor for sobreescrito, masi difícil se tornará a recuperação das informações originalmente existentes. Esse método também é conhecido como "wipe".

- Prevenção de criação de dados
É possível através da alteração de permissão em determinados arquivos, que novos dados sejam inseridos no mesmo, por exemplo. Podemos citar o caso de arquivos de log, que se tiver sua permissão alterada para negar a possibilidade de escrita nos mesmos, nenhuma nova operação será armazenada, e o administrador do sistema não poderá fazer a verificação posterior para entender o que comprometeu o sistema ou a rede.

- Encriptação de dados
A melhor maneira de ocultar um arquivo, para que ninguém veja seu conteúdo, ou consiga alterá-lo, é encriptando-o, seja através de uma ferramenta específica de encriptação, seja ocultando o arquivo dentro de outro, cuja extensão e conteúdo sejam diversos do original. Essa última técnica também pode ser chamada de esteganografia.

- Deleção segura de dados
Essa técnica está diretamente vinculada com a primeira, de sobreescrita de dados. Todo e qualquer processo de deleção de arquivos, deve ser cuidadoso, para que não seja possível a posterior recuperação das informações.

Ferramentas

- Tor (The Onion Router)
O Tor mantém o usuário livre de bisbilhoteiros, inclusive os do FBI e os da CIA, e impede (ou melhor, dificulta bastante) qualquer tipo de rastreamento. E é exatamente isso que o tor oferece. Ao invés de seguir uma rota direta entre a origem e o destino, toda a informação transmitida por ele segue um caminho randômico, que se altera permanentemente, através de diversos servidores voluntários que cobrem a rota. Fica difícil para qualquer sistema saber quem você é, onde você está ou de onde veio, embora seja possível saber o que você está levando consigo.

- Wipe
Wipe é um aplicativo que permite a deleção segura dos dados, permitindo que o usuário defina quais arquivos serão apagados e quantas vezes aqueles blocos do disco, onde os arquivos apagados estavam alocados, serão sobreescritos. Quanto mais vezes se sobreescreve, mais díficil a posterior recuperação dados. Cada operação de sobreescrita deve ser realizada até o final, para que o programa seja completamente eficaz.

- Scrub
Outra possibilidade para realizar o "data wiping", sobreescrevendo os dados deletados com um padrão determinado de informações, que podem ou não ser removidas no final da informação. Se não forem removidas, o perito forense encontrará apenas "lixo digital" nos blocos do disco, sem qualquer ocorrência.

- Steghide
Steghide é um programa de esteganografia que é capaz de esconder dados em vários tipos de arquivos de áudio e imagem. As frequências de som e de cor, respectivamente, não são alteradas tornando o arquivo resistente contra testes estatísticos de primeira ordem. Formatos de arquivos JPEG, BMP, WAV e AU são suportados para uso como arquivo de "cobertura". Não há restrições sobre o formato dos dados secretos. O algoritmo de criptografia padrão é o Rijndael com uma chave de 128 bits de comprimento (que é AES - Advanced Encryption Standard). Se você não confia nesta combinação por qualquer razão, ele lhe permite alterar a combinação modo/algoritmo.

Contramedidas

- Instalar Host IDS nas máquinas;
- Manter as regras de firewall e NIDS bem configuradas;
- Gerencias logs em servidores próprios e bem protegidos;
- Gerenciar permissões em servidores, utilizando ferramentas como o SELinux, por exemplo.

Créditos: brayanpoloni

Read More