Menú
Está libre
registrarse
el principal  /  Navegantes / Attack DNS Spoofing DNS Spoofing es. Escribimos plugin a Microsoft DNS Server para proteger contra la falsificación de IDN, ¿qué es la falsificación de DNS?

Attack DNS Spoofing DNS Spoofing es. Escribimos plugin a Microsoft DNS Server para proteger contra la falsificación de IDN, ¿qué es la falsificación de DNS?

La táctica de emitir para alguien con el fin de obtener acceso a datos confidenciales o cuentas bancarias se usa con éxito no solo por delincuentes en el mundo real, sino también a sus colegas en el taller en el espacio virtual. Esta práctica se llama el título: una categoría colectiva, que incluye los conceptos de la configuración de la dirección IP (enviando mensajes a las computadoras utilizando la dirección IP de la fuente de confianza), la falsificación por correo electrónico (falsifica el encabezado de las letras para enmascarar el remitente verdadero) y DNS SPOOFING (Cambio de la configuración del servidor DNS para reenviar un nombre de dominio a la dirección IP de los atacantes).

¿Cómo funciona la falsificación?

Chillido es recepción técnica Emitir para otra persona para engañar a la red o usuario específico Con el fin de causar confianza en la fiabilidad de la fuente de información. Por ejemplo, los piratas informáticos a través de la falsificación por correo electrónico pueden engañar a un usuario sobre la autenticación del remitente y acceder a los datos confidenciales. O pueden tratar de aplicar las solicitudes de IP y DNS, para engañar a la red del usuario y redirigirlo a sitios fraudulentos, enmascarar en el Real, como resultado de lo cual se infectará la computadora del usuario.

¿Cómo reconocer la falsificación?

Más simplemente reconoce la falsificación de correo electrónico debido al hecho de que el objetivo inmediato es el propio usuario. Cualquier correo electrónico de mensajes Mail en el que el usuario necesita información personal, puede ser un intento de estropear, especialmente si se solicitan credenciales. Recuerde, ninguna organización privada confiable o estatal solicita datos personales de esta manera. Preste atención a la dirección del remitente para asegurarse de su legitimidad. Sin embargo, el usuario casi nunca reconoce que se ha convertido en una víctima de IP o DNS-Spoofing, aunque el hábito de prestar mucha atención a los detalles y los cambios en el comportamiento habitual del sitio puede ser extremadamente útil. Si el sitio o su comportamiento causan la menor duda, es mejor abandonar la operación programada para guardar los datos y los fondos financieros.

¿Cómo eliminar la falsificación?

La falsificación es disfrazar la verdadera fuente, por lo que no es tan fácil "eliminar". Puede protegerse solo por seguir el sentido común y observar las reglas básicas de trabajo seguro en la red, por ejemplo, sin ninguna circunstancia sin decir sus datos personales en El. Correo electrónico, incluso si la reputación del remitente es sin duda.

Cómo advertir a la falsificación
  • No responda a los mensajes en los que se le solicita que envíe sus personales o credenciales.
  • Verifique cuidadosamente la dirección del remitente
  • Preste atención a la extrañeza en el comportamiento o las diferencias en los detalles de los sitios web habituales.
Asegúrate de una puta

Por un lado, la protección de la definición puede estar en conclusión en los principios básicos de trabajo seguro en Internet. Sin embargo, puede hacer mucho más por su propia seguridad. En primer lugar, puede confiar la protección de su PC y los datos almacenados en él con una poderosa solución antiviral, por ejemplo, una de las avast desarrolladas, que protege de forma segura contra los sitios fraudulentos y bloquee los virus que intentan penetrar en su red.

Sustitución DNS (SPOOFING DE DNS)

Sistema DNS ( SISTEMA DE NOMBRES DE DOMINIO.) Convierte nombre de dominio (Por ejemplo, www.test.com) en su dirección IP (por ejemplo, 192.168.0.1) y viceversa. Este ataque utiliza la tecnología de enviar respuestas falsas a las víctimas de DNS. El ataque se basa en dos métodos principales.

DNS ID (DNS ID SPOOFING)

El encabezado de paquetes de protocolo DNS contiene un campo de identificación para que coincidan con la consulta y las respuestas. El objetivo de los cambios de ID DNS es enviar su respuesta a la solicitud DNS antes de que este servidor DNS responda. Para realizar esto, debe predecir el identificador de consulta. Localmente se implementa simplemente escuchando el tráfico de la red. Sin embargo, realiza de forma remota esta tarea mucho más difícil. Hay varios métodos:

    comprobación de todos los valores de campo de identificación disponibles. No es muy práctico, ya que el número total de valores posibles es 65535 (tamaño de campo 16 bits);

    enviando varios cientos de solicitudes de DNS en el orden correcto. Obviamente, este método no es muy confiable;

    encontrar un servidor que genere identificadores predichos (por ejemplo, aumentando en 1). Este tipo de vulnerabilidad es inherente en algunas versiones de unirse y sistemas de Windows 9x.

En cualquier caso, debe responder a un servidor DNS real. Esto se puede lograr, por ejemplo, realizando un tipo de ataque "Falta de mantener" contra el servidor.

Para un ataque exitoso, un atacante debe controlar el servidor DNS (ns.attaquant.com), autoritario para la zona AttaQant.com. El servidor DNS de destino (ns.cible.com) presumiblemente genera números de identificación predichos (aumentando en 1 cada vez).

El ataque requiere la ejecución de cuatro pasos:

Como resultado, el caché del servidor DNS de destino contendrá el cumplimiento requerido por el atacante y los siguientes clientes que soliciten la dirección www.spooofed.com se informará por la dirección de la máquina del atacante. Se puede publicar una copia de este sitio, con la cual el atacante puede robar información confidencial.

Cambiar el envenenamiento por caché DNS

El servidor DNS utiliza caché para almacenar los resultados de las consultas anteriores durante algún tiempo. Esto se hace para evitar reutilizaciones de grabación permanentes a los servidores autorizados de dominios relevantes. Se cambia la segunda versión del ataque dirigida a la sustitución DNS. dNS de caché. Servidor. Aquí hay un ejemplo:

Utilizamos los mismos datos que en el ejemplo anterior. Aquí están los puntos clave de esta opción para atacar:

    envíe una solicitud de DNS al nombre de la resolución del servidor DNS de www.attaquant.com del dominio Cible.com;

    target DNS Server Shotvet Permiso de solicitud nombrado después de www.attaquant.com DNS Server del atacante;

La falsificación de IDN es la generación de nombres de dominio "similar" al seleccionado, generalmente se usa para obligar al usuario a seguir el enlace al recurso de asunto. A continuación, considere una opción de ataque más específica.

Imagínese que la compañía atacada posee el dominio organization.org, y dentro de esta empresa utiliza un recurso interno de portal.organization.org. El propósito del atacante es pagar las credenciales de los usuarios, y para esto envía un enlace a través de un correo electrónico o se usa en la compañía Messenger.

Habiendo recibido un mensaje de este tipo con una alta probabilidad, no puede notar que el enlace conduce a algún lugar incorrecto. Después de que el enlace en el enlace será solicitado por la contraseña de inicio de sesión y la víctima, pensando que está en el recurso nacional, introduce datos a su cuenta. Las posibilidades del atacante son especialmente altas si ya está penetrando en el perímetro, comprometiendo el sistema de cualquier empleado, y ahora está luchando contra los privilegios del administrador del sistema.

La "protección contra tontos" absoluta no aparecerá aquí, pero puede intentar interceptar este ataque en la etapa de permiso del nombre a través de la solicitud DNS.

Para proteger, deberemos memorizar constantemente los nombres en las solicitudes de DNS interceptadas. La compañía utiliza sus recursos internos, luego encontraremos rápidamente la consulta a Portal.organization.org. Tan pronto como cumplimos con el nombre "similar" a los encontrados anteriormente, podemos reemplazar la respuesta DNS al devolver un error en lugar de una dirección IP del atacante.
¿Cuáles pueden ser los algoritmos de definición para "similar"?

  • Detección confusa UTS39 (http://www.unicode.org/reports/tr39/#confusable_detection) Unicode no solo es un símbolo de mesa de pieles valiosos, sino también un montón de estándares y recomendaciones. En UTS39, se define el algoritmo para la normalización de la fila Unicode, en la que las líneas que difieren con los omoglifos (por ejemplo, el ruso "A" y el latín "A") se entregarán a la misma forma.
  • Las palabras se caracterizan por permutaciones de letras internas. Bastante confundido fácilmente en organization.org y orgainzation.org
  • Reemplazo del dominio del primer nivel. El primer nivel del nombre generalmente no tiene ningún sentido y el empleado de la compañía que vea "Organización" puede ignorar la diferencia de v.org or.net, aunque las excepciones son posibles aquí.
Lo más probable es que el servidor corporativo no se enlazará, que es el estándar más bien para los hosters o proveedores web, pero el servidor DNS de Microsoft debido al uso ubicuo de Active Directory. Y no encontré el primer problema con el que me encontré al escribir un filtro a Microsoft DNS Server, no encontré el filtrado de consultas DNS. Este problema se puede resolver de diferentes maneras, elegí una inyección de DLL e IAT gancho en las API de trabajo con tomas.

Para comprender la técnica, habrá un conocimiento del formato de educación física, puede leer más, por ejemplo,. El archivo ejecutable consiste en encabezados, tablas de secciones y secciones en sí mismas. Las secciones en sí mismas son un bloque de datos que el gestor de arranque debe mostrarse en la memoria en la dirección relativa (dirección virtual relativa - RVA), y todos los recursos, código, otros datos están contenidos en secciones internas. También dentro del encabezado hay enlaces (RVA) en una serie de aplicaciones de tabla requeridas para el trabajo, la Tabla de importación y exportación de dos puntos será importante en este artículo. La tabla de importación contiene una lista de características necesarias para la aplicación, pero se encuentran en otros archivos. La tabla de exportación es la tabla "inversa" que contiene una lista de características que se exportan desde este archivo, o, en el caso del reenvío de exportación, se especifica el nombre del archivo y el nombre de la función para resolver la dependencia.

La inyección DLL se realizará sin todas las creadoras de deshuesado. Decidí usar el reenvío de exportación de PE: esta es una admisión de larga data, cuando se inicie en el proceso deseado, en el directorio con un archivo EXE, se crea una DLL con el nombre igual a cualquier DLL de la tabla de importación de archivos EXE ( Lo principal es no usar HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Session Manager \\ Conunchlls). En la DLL creada, la tabla de exportación de la DLL de destino se copió, pero en lugar de un puntero al código de la función que se está exportando, debe grabar RVA en la cadena hacia adelante del tipo "Endpoint! Sendo". El propio servidor DNS de Microsoft se implementa como un servicio HKEY_LOCAL_MACHINE \\ System \\ CurrentConLSet \\ System \\ DNS, que se encuentra en% SystemRoot% \\ System32 \\ dns.exe

El algoritmo de inyección final en servidor DNS. Estarán:

  • Cree un catálogo% SystemRoot% \\ System32 \\ DNSFLT (Puede cualquier otro, encontrar un catálogo en System32 opcional).
  • Copiando el% SystemRoot% \\ System32 \\ dnsapi.dll Hay una DLL de la cual DNS.exe importa algo, puede elegir cualquier otro "no conocido".
  • Cambiamos el nombre de la DLL copiada en Endpoint.dll: este nombre se utilizará en la cadena hacia adelante.
  • Tomamos nuestro DLL inyectado y agregamos la tabla de exportación correcta en ella, copie nuestra DLL en% SystemRoot% \\ System32 \\ DNSFLT
  • En el Registro en la clave HKEY_LOCAL_MACHINE \\ SISTEMA \\ CurrentControlSet \\ Services \\ DNS Cambio en ImagePath New Dirección de la batería% SystemRoot% \\ System32 \\ DNSFLT \\ DNS.EXE
  • Cree SimLink de% SystemRoot% \\ System32 \\ dnsflt \\ dns.exe en% SystemRoot% \\ System32 \\ dns.exe
Para qué último paso? El hecho es que Windows tiene un firewall incorporado y, por defecto, en servidor de windows El derecho a escuchar el puerto 53 está solo en la aplicación% SystemRoot% \\ System32 \\ dns.exe. Cuando intenta ejecutarlo desde otro directorio de derechos hasta el acceso a la red, no habrá. ¿Por qué lo copié en absoluto? Para minimizar el impacto en todo el sistema y no tocar el DNSAPI.DLL original. Resulta que si puede crear un enlace simbólico en la aplicación, puede obtenerlo derechos de red. De forma predeterminada, solo hay derecho de administradores para crear enlace simbólico, pero es suficiente para descubrir que al darle al usuario el derecho de crear SymLink, le das la oportunidad de evitar el firewall incorporado.

Después de arrancar dentro del proceso de DllMain, puede crear un flujo y configurar la intercepción. En muy caso simple Nuestro servicio DNS le dirá al cliente una dirección IP para el nombre mediante el envío de un paquete UDP con 53 puertos a través del envío de FUCHING desde WS2_32.dll. El estándar asume la capacidad de usar 53 puertos TCP, si la respuesta es demasiado grande, y es obvio que la intercepción de SENDTE en este caso será inútil. Sin embargo, para manejar el caso con TCP, aunque más laborioso, pero de la misma manera. Mientras te diré el caso más fácil con UDP. Entonces, sabemos que el Código de DNS.EXE Imports de la función WS2_32.dll Sendo y lo usará para responder a una solicitud DNS. Para la intercepción de las funciones, también hay mucho. en maneras diferentes, Clásico, esto saltando, cuando las primeras instrucciones de envío se reemplazan con JMP a su función, y después de su finalización, las instrucciones de envío se guardan anteriormente y luego se lleva a cabo la función SENDTA. El empalme funcionará incluso si la llamada SENDTA se usará GetProcAddress, y no la tabla de importación, pero si se usa la tabla de importación, entonces, en lugar de empalmar, es más fácil usar un gancho IAT. Para hacer esto, encuentre la tabla de importación de importaciones en la imagen cargada de DNS.exe. La tabla en sí tiene una estructura algo confusa y para los artículos tendrá que ir a la descripción del formato PE.

Lo principal es que el sistema en el proceso de carga de la imagen registrará el índice al comienzo de la función SENDTA en la tabla de importación. Esto significa que para interceptar la llamada de envío, solo necesita reemplazar la dirección del envío original a la tabla de importación a su función.

Entonces, establecemos la intercepción y comenzamos a recibir datos. La función prototipo SENDA se ve así:

Int sendoto (_in_ socket s, _in_ const char * buf, _in_ int len, _in_ int banders, _in_ const struct sockaddr * a, _in_ int tolen);
Si S es un socket de 53 puertos, entonces el indicador BUF se acostará con la respuesta DNS con el tamaño de Len. El formato en sí se describe en RFC1035, describiré brevemente lo que necesita hacer para llegar a los datos de interés.

El estándar de comunicación en la norma se describe de la siguiente manera:

En el título de la información deseada: Tipo de mensaje, código de error y número de elementos en secciones. El encabezado se ve así:

Struct dns_header (uint16_t id; // Número de identificación uint8_t rd: 1; // recursión deseada uint8_t tc: 1; // Mensaje truncado uint8_t aa: 1; // AA: 1; // Respuesta autorizativa uint8_t opcode: 4; / / Propósito del mensaje uint8_t qr: 1; // Indicador de consulta / respuesta uint8_t rcode: 4; // Código de respuesta uint8_t cd: 1; / / Comprobación deshabilitado uint8_t ad: 1; // autenticated Data uint8_t z: 1; // su z! Reservado uint8_t ra: 1 // recursión disponible uint16_t q_count; // Número de entradas de preguntas uint16_t ans_count; // Número de entradas de respuesta uint16_t auth_count; // Número de entradas de autoridad uint16_t add_count; // Número de entradas de recursos);
La sección de preguntas tendrá que desmontar para obtener la respuesta. La sección en sí consiste en una serie de bloques que se indican en el título (Q_count). Cada bloque consiste en un nombre, tipo y clase de clase. El nombre se codifica como una secuencia de líneas, cada una de las cuales comienza con un byte con una cadena larga. Al final hay una fila de longitud cero. Por ejemplo, el nombre Homedomain2008.ru se verá así:

La sección de respuestas parece: El bloque consiste en un nombre, tipo, clase, TTL y datos adicionales. La dirección IP estará contenida en extras. datos. Otra dificultad surge con el análisis del nombre. Aparentemente, para reducir el tamaño del mensaje, en lugar de la longitud de la etiqueta, puede encontrar un enlace a otro área de datos. Está codificado de modo que: si el bits más alto de longitud es igual a 11, el siguiente byte, así como los bits de longitud más jóvenes, deben interpretarse como un cambio en bytes en relación con el inicio del mensaje. Se debe realizar un análisis adicional del nombre pasando en este desplazamiento.

Por lo tanto, interceptamos la API deseada, desmontamos la respuesta DNS, ahora debe tomar una decisión: salte a esta respuesta o devuelva el error. Para cada nombre que aún no está presente en la base de datos, es necesario verificar la respuesta si es "sospechoso" o no.
Consideraremos tales nombres "sospechosos" para los cuales el resultado de la función de esqueleto de Unicode Technical Standard TR39 coincide con el resultado de cualquiera de los nombres de la base, o aquellos nombres que difieren de las letras internas presentes en el dopatorio. Para implementar cheques, almacenaremos 2 mesas. El primero consistirá en los resultados del esqueleto para todos los nombres de la base de datos, en la segunda tabla, escriba las cadenas que se obtuvieron de las filas de base eliminando el primer y último símbolo de cada etiqueta que no sea el primer nivel, y luego ordena los caracteres restantes de cada etiqueta. Ahora, si un nuevo nombre es parte de una de dos tablas, lo consideramos sospechoso.

El significado de la función de esqueleto para determinar la similitud de dos líneas, para esto, los símbolos se normalizan para cada fila. Por ejemplo, XLœ se convertirá a Xloe, y, por lo tanto, comparando el resultado de la función, puede determinar la similitud de las filas Unicode.

Con un ejemplo de implementación de lo anterior descrito anteriormente, puede leer GitHub.
Obviamente, la decisión declarada en la práctica de proporcionar protección normal no puede, ya que, además de los pequeños problemas técnicos con la intercepción, hay un gran problema con la detección de nombres "similares". Sería bueno manejar:

  • Combinaciones de permutaciones y umoglifos.
  • Agregar \\ Reemplazar los caracteres que no se toman en cuenta el esqueleto.
  • UTS TR39 no agota el esqueleto, aún puede limitar la mezcla de conjuntos de caracteres en una etiqueta.
  • Punto japonés completo y otro separador de etiquetas.
  • Así como cosas hermosas como

La infección DNS o la falsificación DNS es un tipo de Cyberak, en el que se utilizan vulnerabilidades del sistema en el servidor DNS para redirigir el tráfico de los servidores legítimos a falsificar.

¿Cómo funciona la infección DNS o la falsificación de DNS?

El código para la infección del caché DNS se encuentra a menudo en las URL enviadas en mensajes de spam. En estos mensajes, los atacantes están tratando de asustar a los usuarios y, por lo tanto, obligarlos a pasar por el enlace adjunto, que, a su vez, infectarán su computadora. Banners e imágenes como en emailY en sitios dudosos también pueden redirigir a los usuarios a este código. Después de la infección, las computadoras redirigirán a los usuarios a sitios falsos que imitan las páginas web originales, exponiéndolas a los riesgos tales como la infección spyware, keylogera o gusanos.

Riesgos

La infección DNS causa varios riesgos, comenzando con el robo de datos. Los sitios de bancos y tiendas populares en línea se reemplazan fácilmente, lo que significa que cualquier contraseña, una tarjeta de crédito o información personal puede comprometerse. Y si se reemplazan los sitios de proveedores de proveedores de seguridad de TI, la computadora del usuario puede someterse a riesgos adicionales, como la infección con los virus o los programas de Trojak, ya que los sistemas de seguridad no recibirán actualizaciones legítimas. Finalmente, la infección por caché DNS es muy difícil, ya que la limpieza del servidor infectado no guarda la computadora del problema, y \u200b\u200bla limpieza de computadoras conectadas al servidor comprometida conducirá a su re-infección. Si es necesario, los usuarios pueden resolver el problema, borrando su caché DNS.

Para evitar la infección DNS, los usuarios no deben pasar por los enlaces desconocidos y verificar regularmente su computadora para programas maliciosos. Siempre hágalo usar el programa instalado en su computadora, no en la versión en línea, que también puede ser reemplazada.

El chillido es un método de ataques de ataques bastante interesante, que muchos profesionales en el campo del IB están negociados. Y en vano, mucho en vano. Desde este artículo, entenderá lo engañoso que puede ser este mundo multiforme. ¡No creas tus ojos!

Advertencia

Toda la información se proporciona únicamente con fines informativos. Ni los editores ni el autor son responsables de cualquier daño posible causado por los materiales de este artículo.

Introducción.

A menudo, de colegas en el taller, tengo que escuchar que la falsificación como un vector de ataque ni siquiera debería considerar. Sin embargo, se atreve a asegurarle: si los métodos de honda están cuidadosamente pensados, puede usarlos para verlos muy y mucho. Y la escala y los resultados de tales ataques a veces son catastróficos. Después de todo, engañando tus ojos una vez, te engañaré a ti y a ti. El argumento más importante a favor del hecho de que los ataques de falsificación representan un peligro real, no una sola persona, incluidos los profesionales, no están asegurados. Cabe señalar aquí que la falsificación en sí misma no da nada: para llevar a cabo un ataque realmente hacker, es necesario usar post-explotación (post-explotación). En la mayoría de los casos, el objetivo de post-explotación es estar en la captura estándar de la administración, lo que aumenta los privilegios, la distribución masiva de los programas maliciosos y, como resultado, el robo de datos personales y las claves digitales electrónicas de los sistemas bancarios con mayor lavado de dinero. En este artículo, yo, en primer lugar, quiero contar con qué métodos hay métodos de salida, y, en segundo lugar, informarle en detalle sobre algunos enfoques modernos. Naturalmente, toda la información se le proporciona solo con el objetivo de ayudar a proteger contra este tipo de ataques.

Spa pasado y real

Inicialmente, el término "SPOOFING" se utilizó como un término seguridad de la redlo que implica una falsificación exitosa de ciertos datos para obtener acceso no autorizado a un recurso de red. Con el tiempo, este término comenzó a ser utilizado en otras áreas de seguridad, aunque la mayoría de los llamados especialistas de la escuela antigua y hoy continúan usando la palabra "SPOOFING" solo para aclarar el tipo de ataques de red.

Primer clones idn

Se describió por primera vez un ataque con IDN-Omografías en 2001 Evgeny Gablovich y Alex GonMeter del Instituto de Tecnología de Tecnología Israelí. El primer caso famoso de un ataque exitoso usando este métodoSe presentó a la publicación en 2005 en la Conferencia de Hacker Shmoocon. Los hackers lograron registrar el dominio PayPal.com (xn--pypal-4ve.com en Punycode), donde la primera letra A es cirílica. Gracias a la publicación en slashdot.org, se atraía la atención pública al problema, después de lo cual tanto los navegadores como los administradores de muchos dominios nivel superior Contramasuras desarrolladas e implementadas.

Entonces, cuando la red solo nació, la mayoría de los esfuerzos de programadores y desarrolladores se dirigieron principalmente a optimizar algoritmos para la operación de los protocolos de red. La seguridad no fue tan crítica como hoy, y ella, con la misma frecuencia, sucede, prestó muy poca atención. Como resultado, obtenemos errores banales y fundamentales en protocolos de redLo que sigue existiendo hoy, a pesar de los diversos tipos de parches (para que no la recompensa no está presionando el error lógico del protocolo). Aquí necesitamos cambios totales que la red en la vista existente simplemente no sobrevivirá. Por ejemplo, en el artículo "Ataques en DNS: Ayer, hoy, mañana" (] [ #5 2012) Hablé de las consecuencias desastrosas de las vulnerabilidades fundamentales en los sistemas DNS, utilizando el protocolo UDP (que, a diferencia de TCP / IP, es inseguro, ya que no tiene un mecanismo incorporado para evitar una falsificación) y el caché local.

Vectores

Dependiendo del propósito y las tareas, los vectores de falsificación se pueden dividir en las instrucciones locales (locales) y en la red (NET). Es ellos que consideraremos en este artículo. Como un objeto de ataque en un vector local, el SO en sí mismo se considera más a menudo, instalado en la computadora de la víctima, así como un cierto tipo de aplicación, que a menudo requieren un análisis adicional, dependiendo de la situación. Los ataques de objetos con un vector de red, por el contrario, son más abstracidos. Los principales son componentes. sistemas de informaciónRepresentado por redes locales y globales. Considere los principales tipos de spa.

  1. Spoofing TCP / IP & UDP - Ataques a nivel de transporte. Debido a los errores fundamentales del transporte de protocolos TCP y UDP, son posibles los siguientes tipos de ataque:
    • Spoofing IP: la idea consiste en la sustitución de la dirección IP mediante el cambio del valor del campo de origen en el cuerpo del paquete IP. Se utiliza para sustituir la dirección del atacante, por ejemplo, para invocar un paquete de respuesta a la dirección deseada;
    • ARP SPOOFING: una técnica de ataque en las redes Ethernet, que permite interceptar el tráfico entre hosts. Basado en el uso del Protocolo ARP;
    • Envenenamiento de caché DNS - Envenenamiento por el servidor DNS-KESHA;
    • NetBIOS / NBNS SPOOFING - Basado en las características de la resolución de máquinas locales dentro de las redes de Microsoft.
  2. Spoofing de referencia - Referencia de sustitución.
  3. Envenenamiento de redes de intercambio de archivos: phishing en redes de intercambio de archivos.
  4. Spoofing ID de llamadas - Sustitución de un número de teléfono de la persona que llama en redes VoIP
  5. Spoofing de dirección de correo electrónico - Sustitución correos electrónicos Remitente.
  6. Spoofing GPS: subtitución de paquetes desde un satélite para confundir el dispositivo GPS.
  7. La falsificación de correo de voz es una sustitución de números de correo de voz para phishing víctimas de contraseñas.
  8. SPOOFING SMS - Método de separación basado en el submenú de los números del remitente de SMS.

Los últimos desarrollos en la salida.

Las técnicas más comunes ya son bastante viejas y golpeadas. Red global Literalmente tiende a la información sobre las posibles variaciones de su operación y protección contra ellos. Hoy, veremos algunos métodos más nuevos de splasting, cuyo uso solo está ganando impulso, a partir de vectores locales y finalizando con redes. Entonces, todo está en orden.

Certificados de Spoofing Flamer y escandalosa Microsoft

Asesoramiento de seguridad de Microsoft (2718704): los certificados digitales no autorizados podrían permitir la falsificación. Se encontró algo bastante interesante en las copias del Sensacional Spy BOT FLAMER: De acuerdo con los resultados de la ingeniería inversa de los componentes de este malicioso, se detectó una sección del Código de la realización de un tipo de ataque que se extiende. Imitando la provisión de certificados originales. grandes compañias, Bot realizó un ataque de MITM, cuyo propósito fue la intercepción de los datos personales de los usuarios red corporativa Con el envío posterior al servidor de desarrolladores. Este incidente de sugestión recibió asesoramiento de seguridad # 2718704 con rango de alto riesgo.

Chillido en el sistema operativo.

1. Spoofing de extensión - Spoofing de expansión de archivos

Técnica que vio la luz debido al desarrollo del investigador chino en el campo. seguridad de información Zhitao zhou. La esencia de esta técnica es usar el carácter de control 0x202E (RLO) en el nombre del archivo, que le permite cambiar el orden de los caracteres cuando se muestra el nombre del archivo en explorador de Windows (explorer.exe). Le daré un ejemplo de usar esta simple técnica:

Super Music Subido por 3 PM.SCR

El archivo 3 PM.SCR no representa nada más que un archivo ejecutable que implementa ciertas funciones (Programa Troya. - Aprox. Editor). Si al comienzo del nombre del archivo "3 PM.SRC" inserte el símbolo de control 0x202E (consulte la FIG. 1), entonces el procedimiento para los cambios de caracteres en el nombre inversso y del archivo se muestra en el Explorador de Windows de manera diferente:

Super Music Subido por RCS.mp3

Para cambiar el icono del archivo, use cualquier editor de recursos (restaurador, hacker de recursos). Esta técnica está diseñada para un usuario descuidado que puede tomar este archivo para la canción y abrir haga doble clicEjecutando así el programa malicioso. Desafortunadamente, esta técnica no funcionará en programas: análogos del conductor que admite Unicode. El siguiente es el código C #, que realiza un cambio en el nombre del archivo agregando el símbolo de control 0x202E al principio:

PUBLIC SUB_202E (archivo como cadena, extensión como cadena) Dim d como entero \u003d archivo.length - 4 DIM u como char \u003d chrw (823) Dim t como char () \u003d extensión.tocarray () Array.reverse (t) Dim Dest como cadena \u003d file.substring (0, d) & u & new string (t) & file.substring (d) system.io.io.file.move (archivo, dest) final subd

2. Nombre de archivo SPOOFING - Nombre de archivo Cloning

Esta técnica estuvo representada por el investigador japonés Yosuke Hasegawa en la Conferencia de Seguridad-Momiji. Se basa en el uso de caracteres cero (caracteres de ancho cero), que no afectan la visualización del nombre del archivo (consulte la FIG. 2). A continuación se presentan todos los personajes de esta categoría:

U + 200b (espacio de ancho cero) - U + 200C (Ancho de ancho cero) - U + 200D (Joiner de ancho cero) - U + FEFF (espacio de no-interrupción de ancho cero) - U + 202A (izquierda a derecha Incrustación)

Además, es posible utilizar la codificación UTF para falsificar los nombres de los archivos existentes. Esta técnica a menudo aplica MODERN MALWAR. En el campo de mi opinión, muestras de personas malintencionadas se encontraron con tales ataques. Por ejemplo, el malware TROJANDROPPER: Win32 / Vundo.L (utilizado para los sitios de phishing vk.com, vkontakte.ru, * odnoklassniki.ru) implica esta técnica.


El archivo% Systemroot% \\ System32 \\ Drivers \\ etc \\ hosts se ha copiado en el archivo "Clon" con UTF-Symbol "O" (0x043E), después de lo cual el original archivo de alojamiento atributo atribuido archivo oculto Y sus contenidos se sobrescribieron con la adición de los siguientes registros:

92.38.66.111 odnoklassniki.ru 92.38.66.111 vk.com 92.38.66.111 vkontakte.ru


Stena navegadores web

1. Barra de estado / enlace SpooOf

El principio de este ataque radica en la sustitución dinámica de la dirección del enlace de hipertexto ( ). Por ejemplo, la víctima contrata el mouse sobre el enlace, después de lo cual la dirección en la barra de estado muestra la dirección a la que conduce este enlace. Después de hacer clic en el enlace, el código Sly Javascript reemplaza la dirección de la transición en la dinámica. Mi investigador familiar, conocido por Nick Iamjuza, estaba estudiando y desarrollando un POC para el funcionamiento de esta técnica en la práctica, pero su desarrollo no fue universal y se actuó solo en navegadores específicos. Después de realizar un estudio similar, obtuve resultados más exitosos, logró lograr la versatilidad de la operación de esta técnica de esfera para todos los motores del navegador. El concepto se publica en el recurso 1337day.com. La implementación técnica se ve así:

MÉTODO ESTE.HREF \u003d ":
Método de ubicación.replace (""):
Methon location.assign (""):
Método ventana.Location.assign (""):
Método de ventana.location.replace (""):
Método Window.Location.href \u003d "":

El código HTML dado es la sustitución dinámica de la dirección especificada ( www.google.com) a la dirección del sitio] [() por varios tipos de métodos basados \u200b\u200ben el evento de JavaScript onClick \u003d "".

2. Spoofing de la barra URL - Enlaces de sustitución en la barra de direcciones del navegador

A primera vista, parece imposible, pero créeme, esto es solo una tarea para el desarrollo de la fundición. Considere la vulnerabilidad CVE-2011-1452, que es la cadena de direcciones en el incorrecto Google Chrome a la versión 11.0.0.696.57:

Haz click en mi.

  • se abre una nueva ventana (Spoofing.php) con la asignación a la variable "A";
  • después de 4500 microsegundos (4.5 segundos) (Función de Window.Settimeout), se devuelve una devolución sobre el historial de transiciones, para la cual la función A.history.back () asignada a la variable "A" es responsable;
  • después de 5000 microsegundos, la variable "A" se establece en una nueva ubicación a Spoofing.php, ubicada en el mismo directorio.

Esto ocurre para sobrescribir la cadena de direcciones a la nueva URL en el contexto de la primera página "Padre".

Siguiente vulnerabilidad CVE-2010-4045 (Opera<= 10.62):

Prof de concepto - Opera High Location Bar Spoofing


Cuando hace clic en el botón, que está representado por la imagen (), la página (ubicación.reload ()) se reinicia automáticamente, mientras que es posible sobrescribir la barra de direcciones en el contexto de la pestaña actual.

Algún sitio web de pago / banco incluido aquí.
  1. iniciar POC. haga clic en el botón para ejecutar el POC.



Después de presionar el botón "Demo" simultáneamente, la variable y el objeto MyWindow se les asigna el valor de la función que abre el sitio de Apple.com con dimensiones de 200 × 100, que corresponde al área de extensión del navegador Safari para dispositivos móviles. El siguiente myWindow implementa un código HTML adicional (JavaScript / VB / etc) utilizando la función DOCUMENT.WRITE (). La etapa de compromiso es adjuntar el enfoque del navegador Safari en el objeto MyWindow.

No hay nada complicado en la Slut de la dirección en la barra de direcciones del navegador, lo único: debe aplicar correctamente la fundición donde se requiere ;-).

3. Código fuente SPOOFING - Sustitución de los contenidos de la página y el código fuente

La operación se implementa gracias al administrador UTF-8 ya conocido por nosotros, símbolo 0x202E (RLO). El método fue descubierto por el estudiante de Virginia Tech John Kurlak. Para demostrar la técnica, utilizó la función JavaScript History.replacestate (), que le permite cambiar la dirección de la página en la barra de direcciones en la dinámica. Prof-of-concept (source.html):

Fuente

¿Puedes ver mi fuente de Chrome?

Los contenidos del archivo fuente fuente.html [% 20% 2e] puede, pero no eso fácilmente ...

La esencia de este método es sustituir los contenidos de la página de origen de la página utilizando el truco con el símbolo de control RLO al final del archivo (consulte la Fig. 4). Cuando intenta ver el código fuente de la página de Source.html, obtenemos el contenido del segundo archivo Source.HTML% 20% 2e. Un patrón bastante interesante y exótico de un spa, con una ganancia muy extraña, como puede parecer a primera vista. Lo que es lo más interesante: este script le permite "ocultar" el código fuente de la página, enmascarando no solo en el contexto de la dirección, sino también en el contexto del nombre de host.


4. Clones IDN: técnica basada en la similitud externa de la visualización de nombres de dominio

No hay innovación aquí, la técnica se practicó desde el principio del sistema DNS, pero fue el uso de IDN (nombres de dominio internacional, nombres de dominio internacionalizados) hizo posible implementar la creación de "clones" casi indistinguibles de dominio. nombres La implementación técnica del ataque de phishing se ve así:

  1. Se registra un nombre de dominio, el más similar a la escritura con el dominio atacado. Típicamente, la similitud de las letras con números en algunas fuentes (letra L y la Figura 1, la letra O y el dígito 0), la similitud de las combinaciones de letras (RN y M, CL y D).
  2. La cara del sitio original, que se coloca en el "clon" creado.
  3. Referencias a un dominio de Phishing (correo de correo no deseado, SPAM en redes sociales, a través de servicios populares de Tipo Twitter, use IFRAME'OV, DORWEEV).
  4. Resulta un beneficio :).

La principal diferencia entre este ataque basado en la similitud de los nombres de dominio, en comparación con otros tipos de phishing usando páginas web falsas: no requiere interferencia con la operación de los protocolos de red: desde un punto técnico de vista del dominio submarino es legítimo.

Los métodos de protección de los ataques de IDN comenzaron a implementarse desde mediados de 2005, cuando los registradores de nombres de dominio fueron adoptados por acuerdo limitando la posibilidad de registrar cualquier dominio IDN. Por lo tanto, el dominio internacional.org limita el número de caracteres permitidos con uno u otro subconjunto de la laticia extendida. Pero gracias a algunos registradores y fundición sin escrúpulos, incluso hoy en día hay todas las oportunidades para el registro de un dominio de phishing.

La variante de protección más radical contra la amenaza omotiva sería una negativa completa de la decodificación de IDN al mostrar. Luego, el nombre del submarino siempre comenzaría con "Xn" y terminó con una secuencia ilegible de caracteres, lo que le habría distinguido bruscamente del original. Desafortunadamente, esta opción niega casi todas las ventajas de IDN.

La principal protección contra IDN Sputing en el lado del cliente es una barra de estado del navegador. Cuando pase el cursor al enlace en la barra de estado, muestra el dominio IDN equivalente PUNYCODE, que sugiere inmediatamente un phishing posible. Pero esto no es una panacea, puede ver todo si aplica una mezcla ;-). Vea mi Exploit Universal para todos los motores del navegador.

Conclusión

La falsificación siempre estaba en demanda, porque es la base y la garantía de mantener ataques exitosos en muchas direcciones. Espero que hagas las conclusiones correctas. Ten cuidado en internet.