Monitorización para evitar el hijacking DNS
Ene03

Monitorización para evitar el hijacking DNS

El hijacking DNS es algo que puede tener un impacto en la marca muy grande, además de ser el predecesor de ataques como por ejemplo un phishing dirigido, o poner malware en la supuesta página legítima. Es por eso que es muy importante ser advertidos en el caso de un ataque de estas características. En el mercado existen diferentes herramientas comerciales y los proveedores ya se encargan de ofrecer este tipo de servicios. ¿Como funcionaría el ataque? Efectivamente se ataca al servidor DNS para conseguir el objetivo. La herramienta que nos puede servir es dnshjmon. Bajamos la herramienta con git git clone https://github.com/corelan/dnshjmon Habrá que configurar varios ficheros antes de usar la herramienta. Modificamos el fichero nameservers.conf Aquí deberemos de poner contra que servidores DNS haremos las comprobaciones. Pueden ser DNS propios o DNS como los de Google por ejemplo. Modificamos el archivo dnshjmon_dns.conf Como sabemos de antemano que direcciones IP están configuradas, solo deberemos de indicarlas en el fichero de configuración. Si abrimos el fichero podemos ver que está configurado para enviar correos cuando suceden ciertos eventos. Una vez configurado, ejecutamos dnshjmon La herramienta detecta que es la primera vez que la usamos y por lo tanto no tiene fichero de configuración. Lo configuramos con los parámetros de nuestro servidor de correo. Una vez que se ha configurado el servidor de correo hará una comprobación de la dirección IP que hemos querido asegurar. El script creará un fichero de configuración con los datos que hemos proporcionado. Cuando la dirección IP cambie, la herramienta nos lo notificará con un correo electrónico. Aquí tenemos el aviso de que la dirección había cambiado. Notas: 1)-Para detectar los cambios tenemos que ejecutar el script por lo que deberemos de configurarlo en el crontab. 2)-La contraseña se almacena en texto claro, una próxima actualización del script sería hacer algún SALT para...

Leer Más

Bloquear el DNS hijacking por parte del ISP

Esto que voy a explicar hoy no es nada novedoso, pero si molesto para algún sector de usuarios. Se trata del DNS hijacking. Como ya sabréis algunos, me mude de casa hace unos meses y contraté mi servicio de ADSL en casa. Los únicos cambios que le hice a mi router, fue deshabilitar el WPS, cambiar el SSID y el password, además de accesos y etc.. La compañía contratada es Jazztel. Hay veces que como muchas personas, me equivoco al escribir el dominio web que voy a visitar. Mi sorpresa fue, encontrarme que era Jazztel, que a modo de “ayuda” me mostraba una página con un buscador del dominio al que yo había tratado de acceder. Ya no me acordaba que Jazztel es uno de los operadores que practica el DNS hijacking. ¿Esto que quiere decir? Vamos a la terminal. darkmac:~ marc$ ping www.midominioinventado.es PING www.midominioinventado.es (81.200.64.180): 56 data bytes 64 bytes from 81.200.64.180: icmp_seq=0 ttl=51 time=63.643 ms 64 bytes from 81.200.64.180: icmp_seq=1 ttl=51 time=61.092 ms 64 bytes from 81.200.64.180: icmp_seq=2 ttl=51 time=73.953 ms 64 bytes from 81.200.64.180: icmp_seq=3 ttl=51 time=62.912 ms 64 bytes from 81.200.64.180: icmp_seq=4 ttl=51 time=63.172 ms --- www.midominioinventado.es ping statistics --- 5 packets transmitted, 5 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 61.092/64.954/73.953/4.582 ms darkmac:~ marc$ El dominio web no existe, pero en cambio me contesta el ping…. ¿Pero de quien es esta IP? darkmac:~ marc$ dig -x 81.200.64.180 +short dnssearch.jazztel.com. Vaya, parece que la IP, pertenece a un subdominio web, concretamente a dnssearch.jazztel.com darkmac:~ marc$ nslookup www.dominioinventado.es Server: 87.216.1.65 Address: 87.216.1.65#53 Non-authoritative answer: Name: www.dominioinventado.es Address: 81.200.64.180 darkmac:~ marc$ Hay otra IP implicada en el caso la IP  87.216.1.65 que es DNS de Jazztel, esto es normal :D. Otra de las maneras que se tiene de comprobar quien “está en medio”. Es hacer un curl. server-home:sqlmap marc$ curl -I www.midominioinvenado.es HTTP/1.1 403 Forbidden Date: Sun, 18 Aug 2013 18:46:47 GMT Server: Apache Connection: close Content-Type: text/html; charset=iso-8859-1 server-home:sqlmap marc$ curl -v -I www.midominioinvenado.es * About to connect() to www.midominioinvenado.es port 80 (#0) * Trying 81.200.64.180... * connected * Connected to www.midominioinvenado.es (81.200.64.180) port 80 (#0) > HEAD / HTTP/1.1 > User-Agent: curl/7.24.0 (x86_64-apple-darwin12.0) libcurl/7.24.0 OpenSSL/0.9.8x zlib/1.2.5 > Host: www.midominioinvenado.es > Accept: */* > < HTTP/1.1 403 Forbidden HTTP/1.1 403 Forbidden < Date: Sun, 18 Aug 2013 18:46:55 GMT Date: Sun, 18 Aug 2013 18:46:55 GMT < Server: Apache Server: Apache < Connection: close Connection: close < Content-Type: text/html; charset=iso-8859-1 Content-Type: text/html; charset=iso-8859-1 < * Closing connection #0 Si miramos dicha IP en Robtex. En realidad el Subdominio no pertenece a Jazztel. Podemos ver un Summary también. A mi personalmente, me molesta que haya interceptando mis consultas...

Leer Más

Passive DNS

Llevo un par de semanas trabajando, montando una infraestructura para montar un Passive DNS y poder registrar todas las consultas DNS que realizan las muestras de malware que voy analizando, tanto manual como automáticamente. Cual sería la estructura del Passive DNS:     Pues a grandes rasgos tendremos lo siguiente, un conjunto de máquinas que se encargarán de analizar malware, las máquinas pasarán por un gateway que registrará las peticiones y respuestas DNS y las almacenará en una base de datos. El mismo escenario se puede diseñar usando un port-mirroring, por ejemplo. “Cada maestrillo tiene su librillo”. En mi caso he instalado la estructura de mas arriba. ¿Para que sirve un passive DNS? Pues en la disciplina de análisis de malware, el passive DNS registrará todas las peticiones DNS que realizan las muestras. Muchas muestras de malware, para actuar realizan una petición DNS hacia su C&C y si este responde con la IP que toca, el malware realiza las acciones pertinentes. Se da el caso de que los criminales cambian la IP que resuelve el dominio por lo tanto es útil guardar un histórico para poder seguir una campaña entre otras cosas, útil no? Hay muchos proyectos de passive DNS en GitHub o Code Google, escoged el que mas os guste, ¿Que veremos en el LOG? [email protected]:/home/marc/tools# tail -30 /var/log/passivedns.log 1375140572.834404||192.168.10.11||8.8.8.8||IN||d3d6wi7c7pa6m0.cloudfront.net.||A||54.230.63.104||60||6 1375176214.971610||192.168.10.11||8.8.8.8||IN||d3d6wi7c7pa6m0.cloudfront.net.||A||54.240.186.180||60||9 1375177560.825022||192.168.10.11||208.67.222.222||IN||mail.emailcampaigns.net.||A||216.27.11.70||60||3 1375171254.646965||192.168.10.11||8.8.8.8||IN||e6845.ce.akamaiedge.net.||A||23.38.85.163||20||20 1375177560.922126||192.168.10.11||208.67.220.220||IN||mx.rediffmail.rediff.akadns.net.||A||119.252.147.10||55||12 1375173867.405042||192.168.10.11||8.8.8.8||IN||mx.rediffmail.rediff.akadns.net.||A||202.137.234.30||53||1 1375177540.623902||192.168.10.11||8.8.4.4||IN||mail01.dridco.com.||A||190.221.0.21||300||1 1375177549.130308||192.168.10.11||8.8.4.4||IN||mail.dilos.com.||A||94.23.45.144||1026||1 1375177561.185202||192.168.10.11||8.8.8.8||IN||mta7.am0.yahoodns.net.||A||63.250.192.46||244||19 1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||66.196.118.33||244||42 1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||66.196.118.35||244||42 1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||98.136.216.26||218||23 1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||98.138.112.32||218||23 1375177561.185202||192.168.10.11||8.8.8.8||IN||mta7.am0.yahoodns.net.||A||63.250.192.45||247||27 1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||98.138.112.37||247||49 1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||66.196.118.36||247||49 1375177561.185202||192.168.10.11||8.8.8.8||IN||mta7.am0.yahoodns.net.||A||98.138.112.35||247||26 1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||98.136.217.202||247||30 1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||98.136.217.203||247||30 1375173869.521861||192.168.10.11||4.2.2.1||IN||mta7.am0.yahoodns.net.||A||98.138.112.34||247||6 1375177561.185202||192.168.10.11||8.8.8.8||IN||mta7.am0.yahoodns.net.||A||98.136.216.25||247||27 1375173867.514481||192.168.10.11||198.153.194.1||IN||126mx02.mxmail.netease.com.||A||220.181.14.134||559||2 1375173867.514481||192.168.10.11||198.153.194.1||IN||126mx02.mxmail.netease.com.||A||220.181.14.133||559||2 1375177530.954715||192.168.10.11||208.67.222.222||IN||cphegtd2-itn02.egmont.com.||A||193.3.130.160||3570||1 1375177549.221149||192.168.10.11||4.2.2.1||IN||vmx.northstate.net.redcondor.net.||A||216.237.227.31||1645||1 1375177549.221149||192.168.10.11||4.2.2.1||IN||vmx.northstate.net.redcondor.net.||A||216.237.227.34||1645||1 1375177549.221149||192.168.10.11||4.2.2.1||IN||vmx.northstate.net.redcondor.net.||A||216.237.227.35||1645||1 1375177549.221149||192.168.10.11||4.2.2.1||IN||vmx.northstate.net.redcondor.net.||A||216.237.227.36||1645||1 1375177549.221149||192.168.10.11||4.2.2.1||IN||vmx.northstate.net.redcondor.net.||A||216.237.227.33||1645||1 1375177549.221149||192.168.10.11||4.2.2.1||IN||vmx.northstate.net.redcondor.net.||A||216.237.227.37||1645||1 Como veis se guarda la IP a la que resuelve cada dominio, significa que podremos consultar un histórico de que dominio resolvió a que IP. Una de las cosas que podemos hacer es parsear listas públicas que sabemos que contienen listas de dominios maliciosos, podemos coger un lista que hay en: http://www.nothink.org/sandbox_and_utilities.php Podemos hacer una búsqueda de dominios maliciosos, Ejemplo: [*] |PassiveDNS Results| - /var/log/passivedns.log: 3050 total entries [+] Found - host 'download-guru.com' matches [+] Found - host 'download-instantly.com' matches [+] Found - host 'goutil.com' matches [+] Found - host 'okozo.com' matches [+] Found - host 'powerpackdl.com' matches [+] Found - host 'reportbox3.info' matches [+] Found - host 'twonext.com' matches -- [=] 7 of entries matched from malhosts.txt El Passive DNS es útil para la recolección de información que luego podremos transformar en inteligencia, una vez que tratemos los datos para nuestras...

Leer Más
Wireless públicas seguras
Jun22

Wireless públicas seguras

Las redes de acceso públicas son un peligro para los usuarios, como ya no lo han demostrado nuestros amigos de Mundo Hacker TV, El ejemplo que realizó Yago Hamsen me gustó mucho y demostró lo que podría realizar un atacante contra cualquier persona que se conecte a la red donde se encuentre, el capitulo en cuestión no tiene desperdicio, se los dejo a continuación: El ataque que realizaba Yago era el de crear una red falsa (Fake AP) en la que un usuario que quiere internet gratuito se conecta y sus datos quedan comprometidos. En uno de los viajes que he estado realizando ultimamente, me he encontrado un punto de acceso público con un nombre (SSID) peculiar. Me extrañó que estuviera abierta teniendo el nombre que tiene, así que lo primero que queria saber era como estaba configurada la red y si podia acceder a internet a través de ella. darkmac:~ marc$ dig google.es ; &lt;&lt;&gt;&gt; DiG 9.8.3-P1 &lt;&lt;&gt;&gt; google.es ;; global options: +cmd ;; connection timed out; no servers could be reached Algunas de las redes que nos encontramos por ahí suelen permitir peticiones DNS, y aunque esten filtradas se puede hacer tunneling y conseguir acceso gratuito no permitido. Parece que aquí no erá posible. Otra de las pruebas que suelo realizar para conseguir internet gratis es la de conectarme a través de TOR. darkmac:~ marc$ tor Jun 22 15:54:32.884 [notice] Tor v0.2.3.25 (git-17c24b3118224d65) running on Darwin. Jun 22 15:54:32.885 [notice] Tor can't help you if you use it wrong! Learn how to be safe at https://www.torproject.org/download/download#warning Jun 22 15:54:32.885 [notice] Configuration file "/usr/local/Cellar/tor/0.2.3.25/etc/tor/torrc" not present, using reasonable defaults. Jun 22 15:54:32.886 [notice] Initialized libevent version 2.0.21-stable using method kqueue. Good. Jun 22 15:54:32.886 [notice] Opening Socks listener on 127.0.0.1:9050 Jun 22 15:54:32.000 [notice] Parsing GEOIP file /usr/local/Cellar/tor/0.2.3.25/share/tor/geoip. Jun 22 15:54:32.000 [notice] No AES engine found; using AES_* functions. Jun 22 15:54:32.000 [notice] This version of OpenSSL has a slow implementation of counter mode; not using it. Jun 22 15:54:32.000 [notice] OpenSSL OpenSSL 0.9.8x 10 May 2012 looks like version 0.9.8m or later; I will try SSL_OP to enable renegotiation Jun 22 15:54:33.000 [notice] Reloaded microdescriptor cache. Found 0 descriptors. Jun 22 15:54:33.000 [notice] I learned some more directory information, but not enough to build a circuit: We have no usable consensus. Jun 22 15:54:34.000 [notice] Bootstrapped 5%: Connecting to directory server. Jun 22 15:54:34.000 [notice] Heartbeat: Tor's uptime is 0:00 hours, with 1 circuits open. I've sent 0 kB and received 0 kB. Vaya :(, parece que no es posible tampoco salir por la red TOR. Otra de las cosas que pruebo y que siempre suele dar...

Leer Más

KodiakDNS, fingerprinting

En una auditoría de seguridad lo mas probable es que antes de llegar ha hacer aquella auditoría interna nos pidan de poder obtener toda aquella información pública que nos sea posible. Una de las aplicaciones que podemos usar y que podemos lanzar contra el dominio es KodiakDNS. Para hacerlo funcionar tendremos que instalar dos componentes distintos. Net:DNS:: usad cpan para instalarlo Whois, que lo podemos bajar de aquí => wget http://search.cpan.org/CPAN/authors/id/B/BS/BSCHMITZ/Net-Whois-IP-1.04.tar.gz Una vez que tengamos los dos componentes ya podremos usar KodiakDNS. Lo bajamos usando git clone git clone https://github.com/lain77z/kodiakDNS.git Lo lanzamos sobre un dominio [email protected]:~/tools/kodiakDNS# perl kodiakDNS.pl policia.com kodiakDNS.pl – DNS Gathering Tool _         _ ((`’-“””-‘`)) )  –   –  ( /   x _ x   \     コディアック`DNS \   ( + )   / ‘-.._^_..-‘ [Domain] policia.com [Resolving DNS NS] policia.com.    86400    IN    NS    sell.internettraffic.com. policia.com.    86400    IN    NS    buy.internettraffic.com. [Resolving DNS MX] [Resolving DNS A] sell.internettraffic.com.    58414    IN    A    176.74.176.170 sell.internettraffic.com.    58414    IN    A    176.74.176.169 buy.internettraffic.com.    26850    IN    A    208.87.35.120 buy.internettraffic.com.    26850    IN    A    208.87.35.121 [Resolving DNS by bruteforcing] accounting.policia.com.    300    IN    A    208.87.35.108 billing.policia.com.    300    IN    A    208.87.35.108 directory.policia.com.    300    IN    A    208.87.35.108 email.policia.com.    300    IN    A    208.87.35.108 example.policia.com.    300    IN    A    208.87.35.108 exchange.policia.com.    300    IN    A    208.87.35.108 ftp.policia.com.    300    IN    A    208.87.35.108 gallery.policia.com.    300    IN    A    208.87.35.108 mail.policia.com.    300    IN    A    208.87.35.108 marketing.policia.com.    300    IN    A    208.87.35.108 public.policia.com.    300    IN    A    208.87.35.108 reserch.policia.com.    300    IN    A    208.87.35.108 smtp.policia.com.    300    IN    A    208.87.35.108 example.policia.com.    300    IN    A    208.87.35.108 www.policia.com.    300    IN    A    208.87.35.108 Como veis realiza varias comprobaciones, pero KodiakDNS no se queda aquí y sigue extrayendo mas información [Resolving Reverse DNS [PTR]] 176.74.176.0-255 4.176.74.176.in-addr.arpa. PTR 10ge.por-5ltp1a-xe3-1.peer1.net 18.176.74.176.in-addr.arpa. PTR ns02.networkeq.net 20.176.74.176.in-addr.arpa. PTR mx01.ltp.uk.networkeq.net 74.176.74.176.in-addr.arpa. PTR dnbsource.com 84.176.74.176.in-addr.arpa. PTR hietatoolbox.biz 85.176.74.176.in-addr.arpa. PTR mail.hieta.biz 88.176.74.176.in-addr.arpa. PTR mail.iguanaconsultancy.co.uk 90.176.74.176.in-addr.arpa. PTR rubble.heppell.net 91.176.74.176.in-addr.arpa. PTR mail.learningspaces.net 92.176.74.176.in-addr.arpa. PTR mail.inter-concept.co.uk 94.176.74.176.in-addr.arpa. PTR mail.yumauk.eu 169.176.74.176.in-addr.arpa. PTR sell.internettraffic.com 170.176.74.176.in-addr.arpa. PTR sell.internettraffic.com 210.176.74.176.in-addr.arpa. PTR gss-exploit-server.com 208.87.35.0-255 1.35.87.208.in-addr.arpa. PTR 208-87-35-1.securehost.com 2.35.87.208.in-addr.arpa. PTR 208-87-35-2.securehost.com 3.35.87.208.in-addr.arpa. PTR 208-87-35-3.securehost.com Como veis hace un recorrido completo, cuando acabe esta parte nos preguntará sobre si resolver los AS: Do you want to resolve AS Numbers [y/n] (y) ? y [Resolving AS Number] 217.116.0.0-255 Y cuando acabe de resolver los AS, preguntará si queremos comprobar los resultados en listas de revocación. Do you want to look for IPs in DNS-based block list information/database [y/n] (y) ? n Como veis, KodiakDNS nos permite tener toda la información relacionada con el DNS. muy útil para tener esta herramienta en nuestro...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices