Tag Archive for spoofing

Vulnerabilidad en WinRAR: Spoofing de extensión

Recientemente se ha descubierto una vulnerabilidad en WinRAR que permite al atacante camuflar un archivo malicioso cambiándole la extensión que WinRAR muestra cuando se abre.

En esta entrada vamos a hacer una prueba de concepto y demostrar cómo ocultar un backdoor en una supuesta imagen del famoso candidato a la presidencia de Ucrania, Darth Vader. La idea es comprimir el ejecutable con WinRAR y “spoofear” su extensión real, exe, por una extensión de imagen, por ejemplo png.

Al tratarse de una PoC sobre la vulnerabilidad de WinRAR hemos omitido los pasos a seguir en Metasploit, y nos centramos sólo en el spoofing de la extensión. En próximas entradas os explicaremos más acerca de esta fabuloso framework.

En primer lugar hemos creado un pequeño backdoor con Metasploit que, cuando sea ejecutado por nuestra víctima, abrirá una conexión inversa contra nuestra máquina Kali Linux que tendremos previamente preparada.

Backdoor creado con Metasploit

Backdoor creado con Metasploit

A continuación lo hemos renombrado a un nombre más “creíble“, como el propio personaje. Y con WinRAR hemos comprimido en ZIP el fichero.

Backdoor comprimido en ZIP

Backdoor comprimido en ZIP

Si abrimos el fichero darthvader_ucrania.zip podemos observar que el fichero se muestra con el icono y extensión de fichero ejecutable, lo que sería algo sospechoso para la víctima.

Backdoor como ejecutable

Backdoor como ejecutable

Aquí es donde entra en juego la vulnerabilidad en WinRAR, que nos permitirá “spoofear” la extensión del archivo para engañar a la víctima y parezca una imagen de nuestro posible futuro presidente de Ucrania. Para ello vamos a abrir el fichero ZIP con un editor hexadecimal, yo he utilizado XVI32, pero cualquiera serviría.

Read more

Cifrando el tráfico DNS con DNSCrypt

DNSCrypt nos permite cifrar el tráfico entre el usuario y el servidor DNS. De esta manera, nos vamos a proteger de diferentes ataques, como Spoofing, Man in the Middle o Spying. Para hacer esto, bastará instalar y configurar el proxy DNSCrypt.

Además, vamos a utilizar dnsmasq. Es un paquete que nos permite instarlar de una manera sencilla, un servidor DNS y un servidor DHCP, sólo tenemos que instalar y arrancar el servicio dnsmasq. De esta manera, podremos mejorar el rendimiento de DNSCrypt, al utilizar la caché de dnsmasq. Podremos resolver los nombres que tengamos configurados en el /etc/hosts y, esta resolución, será, tanto en sentido directo, como inverso. También podremos tener el servicio de DHCP, añadiendo, simplemente, una línea al archivo de configuración de dnsmasq, indicando el rango de cesión.

Estas herramientas suelen estar incluidas en muchas distribuciones GNU/Linux. Su configuración es muy similar. En este caso, utilizaré ArchLinux.

Read more

Hablemos de Spoofing

Hoy seremos menos prácticos que en otras ocasiones para hablar de manera más teórica (tan importante como la práctica) y en profundidad sobre la técnica de Spoofing y los tipos de ataque que existen.

Concepto

Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación, es decir, un atacante falsea el origen de los paquetes haciendo que la víctima piense que estos son de un host de confianza o autorizado para evitar la víctima lo detecte. Por ejemplo, cuando nos comunicarnos con un determinado host, la dirección de ese host ocupa un lugar determinado en la cadena de datos, al igual que nuestra propia dirección también ocupa otra posición determinada, pues si conseguimos “manipular” la información de ese lugar, podremos falsear el origen de datos y hacer creer al host destino que somos quien realmente no somos, esto es SPOOFING.

Read more