Interceptación, Manipulación y Monitorización del Tráfico

Los vectores de interceptación de las comunicaciones siguen siendo vectores de ataque que a día de hoy permiten comprometer un sistema remoto.

De hecho, son muchos los protocolos que no implementan ningún tipo de cifrado y que aún siguen utilizándose en las redes tipo LAN como ARP, DHCP, etc. Por ejemplo DHCP puede ser atacado mediante falsificación de peticiones y respuestas DHCP (DHCP Spoofing) o creando un falso servidor DHCP (rogue DHCP server). Por otro lado, los protocolos de enrutado pueden recibir diversos tipos de ataques como route injection, redirección de rutas (ICMP redirect attack), etc...

En caso de interceptación de estos protocolos un atacante puede acceder a información sensible, como pudieran ser las credenciales de usuario.

Además, también es posible modificar la información enviada en la comunicación por la que quisiera el atacante. Siempre y cuando estuviera interceptando las comunicaciones gracias a un ataque de tipo Man in the Middle.

Interceptación de las comunicaciones
Es el conjunto de técnicas utilizadas por un atacante para redirigir el tráfico de la víctima a un sistema que él controla.

Existen distintas técnicas que permiten realizar esta acción. A continuación se indican las más comunes:

  • Punto de Acceso falso: Se establece un punto de acceso (PA) y se interceptan las comunicaciones.
  • ARP Cache Poisoning: El atacante envía paquetes ARP falsificados a la víctima en donde indica que su dirección MAC corresponde al destinatario de la máquina con la que quiere comunicarse la victima.
  • ARP Spoofing: Se realiza una inundación ARP para modificar la tabla ARP de la víctima.
  • DNS Spoofing: Modificar la BD del DNS para que un dominio apunte a otra IP.
  • Session Hijacking: Durante el proceso de establecimiento de la conexión entre el víctima y el servidor, si el atacante es capaz de obtener ciertas partes de la sesión, como las cookies, podrá tomar el control de la conexión. Este ataque también es llamado Cookie hijacking.
  • SSL Hijacking: El atacante genera certificados falsos para los dominios a los que la victima se conecta. La herramienta certmitm permite auditar de forma automática si existe alguna vulnerabilidad en el proceso de validación de certificados TLS.
  • MAC Flooding: Consiste en inundar la tabla de direcciones MAC del switch con direcciones MAC falsas y evitar que las direcciones legítimas se encuentren almacenadas en ella. Si el ataque es exitoso y la tabla se encuentra llena, el tráfico de red cuya dirección MAC destino no aparezca en la tabla de direcciones MAC será reenviado por todos los puertos físicos del switch. Esto permite que el atacante pueda usar un sniffer de red para analizar el tráfico de toda la red local. Este ataque también es un tipo de ataque básico empleados para acceder al tráfico de otras VLAN (VLAN hopping attacks).
La más común es ARP Spoofing, pero requiere que el atacante y la víctima se encuentren en el mismo dominio de colisión broadcast para que se puedan manipular las tablas de rutas ARP en ese segmento.

Herramientas de interceptación de vulnerabilidades
Existen varias herramientas para realizar un ataque de Man in the Middle:

  • ettercap: Una herramienta que dispone de interfaz gráfica para realizar distintos tipos de ataques MitM como ARP Poisoning, DNS Spoofing y MAC Flooding.
  • dsniff: Es un conjunto de herramientas que permiten auditar el trafico de red. Algunos de los comandos disponibles son arpspoof para enviar paquetes ARP falsificados, dnsspoof para crear paquetes DNS falsificados y webmitm para crear un proxy HTTP/HTTPS transparente, macof para inundar una LAN conmutada con direcciones MAC aleatorias, entre muchos otros.
  • bettercap: Evolución de la herramienta ettercap, soporta más protocolos de comunicaciones y una interfaz mejorada.
  • yersinia: Es otra herramienta para realizar ataques en la capa 2 de red.
  • mitmproxy: Proxy de interceptación para el protocolo HTTP/HTTPS.

Sin embargo, la más utilizada a día de hoy es bettercap. En el siguiente enlace podéis acceder al repositorio de Github del proyecto bettercap (https://github.com/bettercap/bettercap).

Características de bettercap
Herramienta para realizar ataques de MiTM en lenguaje golang. Soporta interceptación de las comunicaciones en Wi-Fi, Bluetooth Low Energy, y protocolos ethernet:

  • Posibilidad de realizar ciertos ataques Wi-Fi.
  • Spoofing ARP, DNS, NDP, DHCP.
  • Proxy HTTP, TCP con posibilidad de automatización.
  • Recolección de contraseñas.
  • Interfaz gráfica basada en web.
Manipulación de tráfico - bettercap
Además de los ataques de MiTM, bettercap proporciona la posibilidad de manipular tráfico a través del uso de proxies y caplets:
 
Proxies
Los proxies por ellos mismos sólo pueden monitorizar los paquetes de ciertos protocolos. Aunque se pueden programar scripts para realizar la manipulación del tráfico. La manipulación más básica consiste en reenviar el tráfico de un protocolo concreto a un servidor controlado por el atacante:
  • tcp.proxy: Redirige el tráfico de un puerto TCP a otro equipo
  • http.proxy/https.proxy: Permite redirigir tráfico http/https
Caplets
También existen ciertos scripts de manipulación de tráfico creados por la comunidad conocidos como caplets. A continuación se muestran algunos ejemplos:
  • steal-cookies: Caplet que recopila las cookies interceptadas.
  • hstshijack: para eliminar la protección HSTS de los sitios web.
  • web-override: Modifica las respuestas HTTP con el contenido que nosotros queramos.