«

»

Ene 03

Artículo: Un repaso por las herramientas utilizadas para realizar ataques Man‑in‑the‑Middle (MITM), nunca está de más el conocerlas.

Publicada en: https://blog.elhacker.net/2021/12/herramientas-para-realizar-ataques-man-in-the-middle-mitm.html

Man-in-the-Middle (MitM), que en español significa “hombre en el medio”, es un tipo de ataque destinado a interceptar, sin autorización, la comunicación entre dos dispositivos (hosts) conectados a una red. Este ataque le permite a un agente malintencionado manipular el tráfico interceptado de diferentes formas, ya sea para escuchar la comunicación y obtener información sensible, como credenciales de acceso, información financiera, etc., o para suplantar la identidad de alguna de las partes

Para que un ataque MitM funcione correctamente, el delincuente debe asegurarse que será el único punto de comunicación entre los dos dispositivos, es decir, el delincuente debe estar presente en la misma red que los hosts apuntados en el ataque para cambiar la tabla de enrutamiento ARP para cada uno de ellos.

Aunque alterar la tabla de enrutamiento es infinitamente más simple cuando se realiza en la misma red, técnicamente sería posible secuestrar los routers de los proveedores de Internet y alterar arbitrariamente sus tablas de enrutamiento, pero la complejidad de este tipo de ataque es incomparablemente mayor. Por tanto, todos los ejemplos que citaré en este artículo estarán relacionados con el ataque desde dentro de la red.


Tipos de ataques man-in-the-middle

  • Ataques basados en servidores DHCP
  • ARP cache poisoning
  • Ataques basados en servidores DNS
  • Simulación de un punto de acceso inalámbrico
  • Ataque Man in the Browser

Tipos de ataques man-in-the-middle

Ya hemos visto cómo proceden los atacantes a realizar un ataque man in the middle. Pero veamos más en profundidad qué tipos de ataques existen y en qué consiste cada uno de estos métodos.

Ataques basados en servidores DHCP

Los atacantes utilizan su ordenador como si fuera un servidor DHCP en una red local. Estos servidores sirven para asignar direcciones IP y realizar la configuración de los dispositivos que forman parte de una red, para que se puedan comunicar con otras redes. Mediante un DHCP simulado, los hackers pueden controlar las direcciones IP locales para desviar e interceptar el tráfico saliente.

ARP cache poisoning

El protocolo ARP tiene como función resolver IPs en redes LAN. Para proceder al envenenamiento de caché ARP, el hacker necesita conocer el sistema del destinatario. Al hacer una petición ARP se envía tanto la IP como la dirección MAC del equipo que realiza la solicitud, así como la IP del equipo de destino. Mediante el ARP cache poisoning, se busca dar respuestas falsas en estas peticiones, para que el usuario use el ordenador del hacker como punto de acceso a internet y así poder interceptar los datos salientes de los ordenadores de las víctimas.

Ataques basados en servidores DNS

En este tipo de ataques los ciberdelincuentes manipulan el caché de servidores DNS con el objetivo de dar direcciones falsas. Generalmente, estos ataques se centran en servidores que utilizan versiones del software DNS muy antiguas, ya que son más vulnerables. Además, en caso de lograr acceso a estos servidores, será mucho más sencillo enviar registros falsos y envenenar su caché.

Simulación de un punto de acceso inalámbrico

Este tipo de ataque man in the middle por WiFi está dirigido principalmente a los usuarios de los teléfonos móviles. El hacker crea un punto de acceso inalámbrico en una red pública, por ejemplo en una biblioteca o cafetería. El objetivo es hacer que el equipo del atacante funcione como un punto de acceso inalámbrico a internet, para que los usuarios se conecten a él a través de sus dispositivos móviles y así hacer de intermediario entre los usuarios y la red pública.

Ejemplo Ejecución del ataque ARP

Un ataque ARP poisoning funciona de la siguiente manera:

  • El atacante hace uso de la herramienta de ARP Spoofing y escanea las direcciones MAC e IP de los hosts de la subred del objetivo.
  • El atacante elige su destino y comienza a enviar paquetes ARP través de la LAN. Estos paquetes contienen la dirección MAC del atacante y la dirección IP de la víctima con el fin de que la arp cache de los equipos establezca la relación de esa MAC con esa dirección ip.
  • Si el atacante logró vincular su dirección MAC a una dirección IP auténtica, va a empezar a recibir cualquier dato que se puede acceder mediante la dirección IP. A partir de aquí, el atacante puede robar datos o lanzar un ataque más sofisticado.

Como sucede en la mayoría de los ataques, incluso si el delincuente no tiene un profundo conocimiento sobre lo que va a ejecutar, podrá llevarlo a cabo, aunque sea de forma mecánica. Y en el caso de los ataques de Man-in-the-Middle no es diferente: siguiendo algunas instrucciones que se encuentran fácilmente en Internet, es posible reproducir este tipo de ataque. Por eso es tan importante tomar siempre medidas de protección.

Para comprender cómo funciona el ataque, veamos la imagen a continuación. En la misma se puede apreciar la tabla de enrutamiento presente en la computadora de la víctima, aún sin cambios.

Cada una de las entradas de la tabla ARP tiene una dirección única, como puede observarse en la numeración final presente en cada una de ellas.

Como hemos dicho anteriormente, cuando se está ejecutando un ataque MitM, el delincuente se hace pasar por la dirección de destino de la víctima, que suele ser un router o alguna otra dirección que sea la puerta de entrada a esa red. Vale la pena mencionar que los ataques en los que se hacen pasar por la dirección de destino de la víctima representan uno de los tantos tipos de ataques de MitM. Dicho esto, existen algunas herramientas que pueden realizar este tipo de ataque. En el caso de nuestro ejemplo, el ataque realizado fue de envenenamiento de ARP, también conocido como ARP spoofing o envenenamiento de tablas ARP. El ARP, o Adress Resolultion Protocol, es un protocolo de resolución de dirección que se utiliza en la comunicación entre direcciones IP y la dirección física de un equipo, más conocida como dirección MAC.

El software utilizado para automatizar este ataque fue Ettercap a través de la línea de comandos. Sin embargo, el software también tiene una interfaz gráfica muy intuitiva y fácil de usar. Después de ejecutar el comando, la víctima cree que el atacante es la puerta de enlace y comienza a enviarle todas sus solicitudes.

Como la visualización que ofrece Ettercap tiene una estructura muy difícil de interpretar, es posible utilizar analizadores de red más robustos como Wireshark  o BetterCap para monitorear la interfaz de red que está recibiendo este tráfico y tratarlo o guardarlo para realizar un análisis posterior.

Herramientas MITM (Man In The Midle)

  • Dnsspoof: DNS spoofer. Elimina las respuestas de DNS del enrutador y lo reemplaza con la respuesta de DNS falsificada.
  • Ettercap: Una suite completa para hombres en medio de ataques. Cuenta con olfateo de conexiones en vivo, filtrado de contenido sobre la marcha y muchos otros trucos interesantes. Es compatible con la disección activa y pasiva de muchos protocolos e incluye muchas características para el análisis de red y host.
  • Bettercap: Una herramienta potente, flexible y portátil creada para realizar diversos tipos de ataques MITM contra una red, manipular el tráfico HTTP, HTTPS y TCP en tiempo real, buscar credenciales y mucho más.
  • Mallory: Un hombre extensible de TCP / UDP en el proxy intermedio que está diseñado para ejecutarse como una puerta de enlace. A diferencia de otras herramientas de este tipo, Mallory admite la modificación de protocolos no estándares sobre la marcha.
  • MITMf: Framework para ataques Man-In-The-Middle.
  • Mitmproxy: Un proxy hombre-en-el-medio interactivo con capacidad para SSL para HTTP con una interfaz de consola.
  • Mitmsocks4j: El hombre en el medio SOCKS Proxy para JAVA.
  • Nogotofail: Una herramienta de prueba de seguridad de tráfico de red blackbox en ruta.
  • Responde: Un envenenador LLMNR, NBT-NS y MDNS, con servidor de autenticación rogue HTTP/SMB/MSSQL/FTP/LDAP incorporado compatible con NTLMv1 / NTLMv2 / LMv2, NTLMSSP de seguridad extendida y autenticación HTTP básica.
  • Ssh-mitm: Una herramienta de hombre en el medio SSH / SFTP que registra sesiones interactivas y contraseñas.

MITMf (Man In The Middle Framework)

El “framework” permite hacer “bypass HTTPS”, denominado “MITMf” (Man In The Middle Framework), el cual consta de un kit de herramientas que permiten realizar varios ataques compenetrados entre los que destacan “ARP Spoofing”, “DNS Spoofing” y “SSLstrip2”, con el que evadir las conexiones cifradas vía HTTPS.

Para proceder a la realización del ataque lanzamos “mitmf.py” con la siguiente configuración:
“Mitmf.py -i <interfaz> – -spoof – -hsts – -arp – -dns – -gateway <puertaenlace> – -target <IP>”

Hetty

Hetty es un kit de herramientas HTTP rápido de código abierto con potentes funciones para ayudar a los investigadores de seguridad, los equipos y la comunidad de recompensas por errores. La herramienta liviana con una interfaz web Next.js incrustada comprende un hombre HTTP en el proxy intermedio.

Características principales

  • Le permite realizar una búsqueda de texto completo
  • Tiene un módulo de remitente que le permite enviar solicitudes HTTP manualmente en función de las solicitudes fuera del registro del proxy o al crearlas desde cero.
  • Un módulo de atacante que le permite enviar solicitudes HTTP automáticamente
  • Instalación simple e interfaz fácil de usar
  • Envíe manualmente las solicitudes HTTP comenzando desde cero, elaborando la solicitud o simplemente copiándola desde el registro de proxy.

Bettercap

Bettercap es una herramienta de reconocimiento y ataque de red completa y escalable.

La solución fácil de usar proporciona a expertos en seguridad y equipos red team todas las funciones para probar o atacar redes Wi-Fi, IP4, IP6, dispositivos Bluetooth de baja energía (BLE) y dispositivos HID inalámbricos. Además, la herramienta tiene capacidades de monitoreo de red y otras características como creación de puntos de acceso falsos, rastreador de contraseñas, suplantación de DNS, captura de protocolo de enlace, etc.

Características principales

  • Un potente rastreador de red incorporado para identificar datos de autenticación y recopilar credenciales
  • potente, extensible
  • Sondea y prueba de forma activa y pasiva los hosts de la red IP en busca de posibles vulnerabilidades MITM.
  • Interfaz de usuario basada en web fácil de usar e interactiva que le permite realizar una amplia gama de ataques MITM, rastrear credenciales, controlar el tráfico HTTP y HTTP, etc.
  • Extrae todos los datos que recopila como POP, IMAP, SMTPy credenciales FTP, URL visitadas y hosts HTTPS, cookies HTTP, datos publicados HTTP y más. Luego lo presenta en un archivo externo.
  • Manipule o modifique el tráfico TCP, HTTP y HTTPS en tiempo real.

 Proxy.py

Proxy.py es un servidor proxy WebSockets, HTTP, HTTPS y HTTP2 ligero de código abierto. Disponible en un solo archivo de Python, la herramienta rápida permite a los investigadores inspeccionar el tráfico web, incluidas las aplicaciones cifradas TLS, mientras consume un mínimo de recursos.

Características principales

  • Es una herramienta rápida y escalable que puede manejar decenas de miles de conexiones por segundo.
  • Funciones programables como un servidor web integrado, proxy y personalización de enrutamiento HTTP, etc.
  • Tiene un diseño liviano que usa 5-20 MB de RAM. Además, se basa en las bibliotecas estándar de Python y no requiere ninguna dependencia externa.
  • Un panel personalizable en tiempo real que puede ampliar mediante complementos. También le da la opción de inspeccionar, monitorear, configurar y controlar el proxy.py en tiempo de ejecución.
  • La herramienta segura utiliza TLS para proporcionar un cifrado de un extremo a otro entre el proxy.py y el cliente.

 Mitmproxy

Los mitmproxy es una solución de proxy HTTPS de código abierto y fácil de usar.

Generalmente, la herramienta fácil de instalar funciona como un proxy HTTP de intermediario SSL y tiene una interfaz de consola que le permite inspeccionar y modificar el flujo de tráfico sobre la marcha. Puede utilizar la herramienta basada en la línea de comandos como un proxy HTTP o HTTPS para registrar todo el tráfico de la red, ver lo que solicitan los usuarios y reproducirlos. Por lo general, mitmproxy se refiere a un conjunto de tres herramientas poderosas; mitmproxy (interfaz de consola), mitmweb (interfaz basada en web) y mitmdump (versión de línea de comandos).

Burp Suite

Características principales

  • Interceptar e inspeccionar el tráfico de red sin procesar en ambas direcciones entre el navegador web y el servidor
  • Rompe la conexión TLS en el tráfico HTTPS entre el navegador y el servidor de destino, lo que permite al atacante ver y modificar datos cifrados.
  • Opción de utilizar el navegador integrado Burps o el navegador web estándar externo
  • Solución de escaneo de vulnerabilidades automatizada, rápida y escalable, le permite escanear y probar aplicaciones web de manera más rápida y eficiente, identificando así una amplia gama de vulnerabilidades
  • Mostrar solicitudes y respuestas HTTP individuales interceptadas
  • Revise manualmente el tráfico interceptado para comprender los detalles de un ataque.

Burp es una herramienta automatizada y escalable herramienta de escaneo de vulnerabilidades. La herramienta es una buena opción para muchos profesionales de la seguridad. Generalmente, permite a los investigadores probar aplicaciones web e identificar vulnerabilidades que los delincuentes pueden explotar y lanzar ataques MITM.

Utiliza un flujo de trabajo dirigido por el usuario para proporcionar una vista directa de la aplicación de destino y cómo funciona. Al operar como un servidor proxy web, Burp se sienta como el intermediario entre el navegador web y los servidores de destino. En consecuencia, esto le permite interceptar, analizar y modificar el tráfico de solicitudes y respuestas.

Ettercap

Ettercap es un analizador e interceptor de tráfico de red de código abierto.

La completa herramienta de ataques MITM permite a los investigadores diseccionar y analizar una amplia gama de hosts y protocolos de red. También puede registrar los paquetes de red en una LAN y otros entornos. Además, el analizador de tráfico de red multipropósito puede detectar y detener ataques de intermediarios.

Características principales

  • Interceptar el tráfico de la red y capturar credenciales como contraseñas. Además, puede descifrar datos cifrados y extraer credenciales como nombres de usuario y contraseñas.
  • Adecuado para rastreo profundo de paquetes, pruebas, monitoreo del tráfico de red y filtrado de contenido en tiempo real.
  • Admite escuchas, disecciones y análisis activos y pasivos de protocolos de red, incluidos aquellos con cifrado
  • Analizar un topología de la red y establecer los sistemas operativos instalados.
  • Interfaz gráfica de usuario fácil de usar con opciones de operación de GUI interactivas y no interactivas
  • utiliza técnicas de análisis como la interceptación ARP, el filtrado de IP y MAC, y otras para interceptar y analizar el tráfic

Consecuencias de un ataque de Man-in-the-Middle

Ahora que entendemos un poco sobre la estructura del ataque en sí, queda por ver qué pueden hacer los delincuentes cuando llevan a cabo un ataque Man-in-the-Middle.

En el ejemplo que mencioné, la captura de tráfico fue realizada por Ettercap con el fin de analizar paquetes. Sin embargo, Ettercap no es la única solución que ayuda a crear ataques Man-in-the-Middle. Es posible desarrollar amenazas para realizar determinadas acciones dentro del tráfico interceptado o utilizar alguna de las soluciones ya creadas para realizar estas modificaciones. Una de las soluciones desarrolladas para este propósito fue Man-in-the-Middle Framework, o MITMf, que viene con varias funcionalidades instaladas por defecto. Algunas de estas funcionalidades permiten:

  •  Realizar capturas de pantalla de lo que observa la víctima cada cierto tiempo;
  • – Insertar en la página a la que se accede código en JavaScript creado por el atacante;
  • – Ejecutar procesos que intentan abrir tráfico encriptado HTTPS;
  • – Insertar un keylogger que capture todo lo que escribe la víctima.

Con esto, las opciones de ataque son prácticamente ilimitadas, y aún es posible utilizar el ataque para dirigir el tráfico a otros frameworks con aún más funcionalidades, como, por ejemplo, BeEF.

Además del enfoque MitM más tradicional que menciono en esta publicación, los delincuentes usan este concepto de interceptar las acciones de las víctimas en varios otros tipos de ataques, como la alteración de la memoria cuando la víctima usa el portapapeles (al copiar y pegar algo), ataques de Man-in-the-Browser (que significa hombre en el navegador) cuando el ciberdelincuente modifica información transmitida directamente por el navegador, por ejemplo, cuando se realiza una compra. Todos estos tipos de ataques tienen un impacto significativo en las víctimas y la mayoría de ellos no muestran signos de que la víctima esté siendo atacada en ese momento, lo que hace que las medidas de protección frente a este tipo de amenazas sean aún más necesarias.

Fuentes:

https://geekflare.com/es/mitm-attack-tools/
https://www.welivesecurity.com/la-es/2021/12/28/que-es-ataque-man-in-the-middle-como-funciona/

https://ciberseguridad.blog/las-mejores-herramientas-hacking/#MITM
https://jaymonsecurity.com/mitm-credenciales-sslstrip-mitmf-delorean/
The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.
A %d blogueros les gusta esto: