Interceptación, Manipulación y Monitorización del Tráfico

Los vectores de interceptación de las comunicaciones siguen siendo vectores de ataque que a día de hoy permiten comprometer un sistema remoto.

De hecho, son muchos los protocolos que no implementan ningún tipo de cifrado y que aún siguen utilizándose en las redes tipo LAN.

En caso de interceptación de estos protocolos un atacante puede acceder a información sensible, como pudieran ser las credenciales de usuario.

Además, también es posible modificar la información enviada en la comunicación por la que quisiera el atacante. Siempre y cuando estuviera interceptando las comunicaciones gracias a un ataque de tipo Man in the Middle.

Interceptación de las comunicaciones
Es el conjunto de técnicas utilizadas por un atacante para redirigir el tráfico de la víctima a un sistema que él controla.

Existen distintas técnicas que permiten realizar esta acción. A continuación se indican las más comunes:

  • Punto de Acceso falso: Se establece un PA y se interceptan las comunicaciones.
  • ARP Spoofing: Se realiza una inundación ARP para modificar la tabla ARP de la víctima.
  • DNS Spoofing: Modificar la BD del DNS para que un dominio apunte a otra IP. 
La más común es ARP Spoofing, pero requiere que el atacante y la víctima se encuentren en el mismo dominio de colisión broadcast para que se puedan manipular las tablas de rutas ARP en ese segmento.

Herramientas de interceptación de vulnerabilidades
Existen varias herramientas para realizar un ataque de Man in the Middle:

  • ettercap: De las primeras herramientas en realizar ataques MiTM que soportaban distintas técnicas y protocolos.
  • bettercap: Evolución de la herramienta ettercap, soporta más protocolos de
  • comunicaciones y una interfaz mejorada.
  • mitmproxy: Proxy de interceptación para el protocolo HTTP/HTTPS.

Sin embargo, la más utilizada a día de hoy es bettercap. En el siguiente enlace podéis acceder al repositorio de Github del proyecto bettercap (https://github.com/bettercap/bettercap).

Características de bettercap
Herramienta para realizar ataques de MiTM en lenguaje golang. Soporta interceptación de las comunicaciones en Wi-Fi, Bluetooth Low Energy, y protocolos ethernet:

  • Posibilidad de realizar ciertos ataques Wi-Fi.
  • Spoofing ARP, DNS, NDP, DHCP.
  • Proxy HTTP, TCP con posibilidad de automatización.
  • Recolección de contraseñas.
  • Interfaz gráfica basada en web.
Manipulación de tráfico - bettercap
Además de los ataques de MiTM, bettercap proporciona la posibilidad de manipular tráfico a través del uso de proxies y caplets:
 
Proxies
Los proxies por ellos mismos sólo pueden monitorizar los paquetes de ciertos protocolos. Aunque se pueden programar scripts para realizar la manipulación del tráfico. La manipulación más básica consiste en reenviar el tráfico de un protocolo concreto a un servidor controlado por el atacante:
  • tcp.proxy: Redirige el tráfico de un puerto TCP a otro equipo
  • http.proxy/https.proxy: Permite redirigir tráfico http/https
Caplets
También existen ciertos scripts de manipulación de tráfico creados por la comunidad conocidos como caplets. A continuación se muestran algunos ejemplos:
  • steal-cookies: Caplet que recopila las cookies interceptadas.
  • hstshijack: para eliminar la protección HSTS de los sitios web.
  • web-override: Modifica las respuestas HTTP con el contenido que nosotros queramos.