CHARLA EN IRC R.T.M. - prevención de ARP Spoofing & NBNSCRIPT by hkm

--------------------------------------------------------[ prevención de ARP Spoofing & NBNSCRIPT]---------------------------------------------------

13-12-08 - servidor irc: irc.zonartm.org #rtm -------------------------------------------------------------------------------------- www.zonartm.org

(08:55:31) hkm: primero quiero comentarles sobre proteccion contra lo que han mostrado aqui hoy
(08:56:13) hkm: para pharming hice una "guia para limpiar la granja" que pueden descargar de:
-------------- http://www.hakim.ws/textos/guiaparalimpiarlagranja.pdf
(08:56:25) hkm: basicamente habla sobre limpiar el host y tener un buen antispyware etc
(08:56:33) hkm: son bastante basicas estas guias...
(08:57:06) hkm: otra cosa interesante que me di cuenta cuando estaba buscando sobre proteccion contra ARP fue que es el mismo
-------------------- comando en la mayoria de los sistemas operativos
(08:57:18) nitr0us: static
(08:57:29) hkm: para proteccion contra arp spoofing lo recomentado es como dice nitr0us1 rutas estaticas
(08:57:55) hkm: la guia se puede descargar de http://www.hakim.ws/textos/ProteccionARP-multiOS.pdf
(08:58:12) hkm: "Guía para prevención de ARP Spoofing, se muestran los comandos netstat y arp ya que es el mismo procedimiento
--------------------- para la mayoría de sistemas operativos. La detección se llevar? acabo de forma manual con el comando arp y con
--------------------- el mejor sniffer multiplataforma Wireshark. La ultima sección cubre monitoreo automatizado en Windows usando
--------------------- DecaffeinatID y en Linux con Arpwatch."
(08:59:02) hkm: con esto evitas los trucos del trapper xD
(08:59:36) hkm: bueno.. se pone mejor
(08:59:47) hkm: ahi les va la historia de cuando crypkey se quedo jeton xD
(08:59:58) KBrown: He visto instalaciones grandes donde tienen a un admin como pendejo capturando todas las direcciones
--------------------- mac de todas las compus de la empresa.
(09:00:15) KBrown: Para asignarles IPs fijas desde el DHCP.
(09:00:35) crypkey: KBrown, jaja.
(09:00:37) hkm: sip porque MITM tambien se puede hacer con DHCP
(09:00:38) Roa: lol
(09:00:43) KBrown: Con esa misma tabla les podrian empujar una tabla ARP fija a todas las compus de la misma oficina.
(09:00:51) hkm: pero ahora va lo bueno es posible envenenar dominios por NETBIOS
(09:00:57) hkm: les hablare sobre el NBNSCRIPT
(09:01:28) KBrown: Las podrías snifear en lo que butean, pero en cuanto les empujas la tabla ARP estática se la pela el sniffer.
(09:01:30) hkm: hace unos meses en una reunion de mi casa (sdc, cryp y nitr0us )estabamos buscandole vulns al chrome,
-------------------- encontramos chingos y luego nos dimos cuenta que hacia muchas peticiones de NBNS (netbios name protocol)
(09:01:57) hkm: asi que en unas horas podiamos redireccionar cualquier dominio a::: www.redtube.com xD ea
(09:02:08) nitr0us: ese día el crypkey y yo queriamos ir al EXS pero el hkm no quiso :(
(09:02:19) hkm: pensamos que habiamos descubierto algo nuevo, pero nop ya existia hace muucho incluso hay varias
--------------------- herramientas para eso.
(09:02:28) crypkey: nitr0us, xD.
(09:03:01) hkm: asi es como funciona esto
(09:03:20) hkm: en una Red local Windows, cuando un dominio no se puede resolver por DNS se intenta resolver por NBNS
(09:03:39) hkm: ejemplo: IMPRESORA1 esta en 1.1.1.1
(09:03:42) Nah ha salido de la sala (quit: Client exited).
(09:04:16) hkm: asi que puedes envenenar dominios erroneos, inexistentes o que el DNS tarde mucho en resolver
(09:04:24) hkm: por ejemplo: www.google.cmo o www.google.co
(09:04:55) hkm: asi que hice un script NBNSCRIPT.SH que roba cookies de cualquier dominio envenenando dominios y
--------------------- subdominios inexistentes
(09:05:21) hkm: lo que hace este script es que redirige todo a una pagina que te roba las cookies.. pero pues no queremos cookies
---------------------de dominios inexistentes..
(09:05:39) hkm: asi que esta pagina contiene frames que apuntan a SUBDOMINIOS inexistentes, pero de dominios reales
(09:06:05) hkm: como nos dice SOP (same origin policy) que x.ea.com tiene acceso a cookies de ea.com entonces ya tendremos cookies
--------------------- de los dominios originales
(09:06:26) hkm: ej. frame apuntando a 0.google.com es redirigida a nuestra pagina que roba cookies de google.com
(09:06:52) hkm: este script esta hecho para usar recursos de BackTrack3, asi que en eso lo tienen que correr.
(09:06:55) nitr0us: y hotmale.com
(09:07:10) nitr0us: nel ese si existe ya http://www.hotmale.com/
(09:07:18) nitr0us: es el HOME del explorador de crypkey
(09:07:23) hkm: esta informacion no la he hecho publica hasta ahorita. Pueden encontrar la informacion completa en
--------------------- www.hakim.ws/nbnscript
(09:07:23) crypkey: nitr0us, PUTO
(09:07:29) hkm: ahi esta la descarga e incluso un video
(09:07:44) hkm: greets para crypkey nitr0us y sdc. xD
(09:07:59) crypkey: Nota: El script puede ser modificado para adaptarlo a cualquier distro...
(09:08:40) hkm: con correr en BT3: bt ~ # wget www.hakim.ws/nbnscript.sh; sh nbnscript.sh
(09:09:04) hkm: tendran corriendo el soft ah si, y como he usado windows toda mi vida y este es como el segundo script que programo
---------------------le hice un wizard muy facil de usar
(09:09:15) hkm: con el que pueden agregar dominios y cambiar las opciones facilmente
(09:09:53) hkm: video: (tienen que ir dando click paso por paso): http://www.hakim.ws/nbnscript/nbnscript_vid.html
(09:14:10) hkm: pues desde el wizard del script puedes redirigir a todos los de la red o a una victima en especifico a donde quieras
--------------------- incluyendo redtube etc
(09:14:26) crypkey: Eso si, el script si esta sexy ;)
(09:14:35) vircob: hkm este back track tiene que estar instalado en el DD o igual sirve desde un CD live
(09:14:44) hkm: desde un live
(09:14:47) nediam: hkm: dices que requiere bt3 por el nbnspoof.py o por qu? m?s?
(09:14:57) nediam: no he revisado el source... apenas lo estoy bajando...
(09:15:03) KBrown: Como es HTTP abierto, puedes redirigir el trÃ¡fico hacia tu host y en tu host poner un proxy que se robe todas las
------------------------- cookies y mande las paginas reales.
(09:15:10) hkm: porqu usa el http con las rutas que ya tiene el BT3 y scapy de rutas del BT3 y algunas otras cosas
(09:15:47) hkm: KBrown, si eso se oye bueno estaba pensando hacerlo con un proxy web tipo alguno en php cloack o algo
(09:15:53) KBrown: No podran distinguir entre tu host y un squid.
(09:16:18) KBrown: ¿squid acepta plugins?
(09:16:34) KBrown: Porque estaria chingon ponerle un plugin que se robe las cookies.
(09:17:07) hkm: si se oye bien.

Road Technology Minds Security Group - 2008