¿Cómo hackear cualquier WIFI WPA/WPA2 fácilmente con Wifiphisher?

Wifiphisher es una herramienta de seguridad que monta ataques de phishing automatizados y personalizados en contra de clientes de WiFi para obtener credenciales o infectar a las víctimas con malwares. Primordialmente es un ataque de ingeniería social que a diferencia de otros métodos no incluye ninguna fuerza bruta. Es una manera sencilla de obtener las credenciales de los portales cautivos y los accesos de terceras partes (e.g. en redes sociales) o WPA/WPA2 llaves compartidas.

Wifiphisher funciona en Kali Linux y tiene licencia bajo el GPL.

¿Cómo funciona?

Después de obtener una posición en medio utilizando el Evil Twin o el ataque KARMA, Wifiphisher re-direcciona todas las búsquedas HTTP hacia un controlador de ataque en una página phishing menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Desde el punto de vista de la víctima, el ataque tiene uso en tres fases:

1.     La víctima es des-autenticada de su punto de acceso. Wifiphisher continuamente interfiere todos los puntos de acceso de wifi de los dispositivos de los objetivos dentro de un rango forzando paquetes de “des-autenticación” o “des-asociación” para interrumpir asociaciones existentes.

2.     La víctima se une a un punto de acceso fraudulento. Wifiphisher olfatea el área y copia las configuraciones de los puntos de acceso. Después crea un acceso wireless fraudulento que se va moldeando por la víctima. También pone un NAT/DHCP servidor y manda los puertos correctos. Consecuente a esto, debido a la interferencia, los clientes se comienzan a conectar al punto de acceso fraudulento. Después de esta fase, la víctima es MiTMed. Además, Wifiphiser escucha para probar marcos requeridos y burla redes abiertas “conocidas” para causar una asociación automática acuerdo a los expertos de seguridad informática de Webimprints.

3.     Se le presenta a la víctima una página realista de phishing que es especialmente personalizada. Wifiphisher emplea un servídor web mínimo que responde a peticiones de HTTP y HTTPS. Tan pronto como la victima requiera la página de Internet, Wifiphisher responderá con una página falsa que le pide sus credenciales o le da malwares. Ésta pagina estará hecha especialmente para la víctima, por ejemplo, una pagina de configuración del router contendrá los logos del vendedor. La herramienta contiene plantillas construidas para diferentes escenarios de phishing.

Requerimientos

A continuación los requerimientos para sacar lo mejor de Wifiphiser:

•     Kali Linux. Aunque han logrado que Wifiphisher funcione en otras distribuciones, Kali Linux es el soporte oficial de distribución, así que todas las nuevas características son primeramente probadas en esta plataforma.

•     Un adaptador de red wifi que soporte AP y modo Monitor y que sea capaz de inyectar. Para el modo avanzado, necesitas dos tarjetas; una que soporte el modo AP y otra que soporte el modo Monitor. Los conductores deberán soportar netlink.

Instalación

 Para instalar la versión más reciente, escribe el siguiente comando:

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision cd wifiphisher # Switch to tool's directory sudo python setup.py install # Install any dependencies

Alternativamente, puedes bajar la versión más estable de la Releases page.

Uso

Corre la herramienta escribiendo wifiphisher o python bin/wifiphisher (desde el directorio de la herramienta).

Al correr la herramienta sin opciones, encontrará interfaces e intelectivamente pedirá al usuario escoger ESSID de la red objetivo (de una lista con todas las ESSIDs en el área) así como el escenario del phishing. Por default, la herramienta realizará ambos ataques (Evil Twin y KARMA).

wifiphisher -aI wlan0 -jI wlan4 -p firmware-upgrade --handshake_capture handshake.pcap

Utilice wlan0 para generar el punto de acceso fraudulento y wlan4 pata ataques DoS. Selecciona la red objetivo manualmente de la lista y realiza un escenario de “actualización de Firmware”. Verifica mediante el handshake en el archivo handshake.pcap  que la llave ore-compartida es la correcta.

Útil para seleccionar manualmente los adaptadores wireless. “La actualización de Firmware” es una manera sencilla de obtener el PSK de la red protegida con contraseña.

wifiphisher --essid CONFERENCE_WIFI -p plugin_update -pK s3cr3tp4ssw0rd

Automáticamente selecciona las interfaces correctas, Pon el wifi en el objetivo con ESSID “CONFERENCE_WIFI” y realiza el escenario para la “actualización plug-in”.  El Evil Twin tendrá de contraseña PSK:  "s3cr3tp4ssw0rd".

Útil contra redes con PSK divulgado (por ejemplo, en conferencias). El escenario del "Plugin Update"  provee una manera sencilla para hacer que la víctima baje ejecutables maliciosos (por ejemplo, malwares que contengan un shell payload reversible) explica experto de seguridad informática

.

wifiphisher --noextensions --essid "FREE WI-FI" -p oauth-login

No cargues ninguna extensión. Simplemente genera una red de wi.fi abierto con ESSID “FREE WI-FI” y realiza el escenario para "OAuth Login”.

Útil en contra de las víctimas en lugares públicos. El escenario "OAuth Login" provee una manera sencilla de capturar las credenciales de redes sociales como Facebook.

A continuación, las opciones y las descripciones (también disponibles con wifiphisher -h):

Short form	Long form	Explanation
-h	--help	Muestra el mensaje de ayuda y sale
-jI EXTENSIONSINTERFACE	--extensionsinterface EXTENSIONSINTERFACE	Manualmente escoge una interfaz que soporte el modo Monitor para correr las extensiones. Ejemplo -jI wlan1
-aI APINTERFACE	--apinterface APINTERFACE	Manualmente escoge una interfaz que soporte el modo AP para generar un AP. Ejemplo: -aI wlan0
-nJ	--noextensions	No bajar ninguna extensión
-e ESSID	--essid ESSID	Mete el ESSID del punto de acceso fraudulento. Esta opción se salta la fase de selección del punto de acceso. Ejemplo: --essid 'Free WiFi'
-p PHISHINGSCENARIO	--phishingscenario PHISHINGSCENARIO	Escoge el escenario que quieras ejecutar. Esta opción se saltara la fase de selección de escenario. Ejemplo: -p firmware_upgrade
-pK PRESHAREDKEY	--presharedkey PRESHAREDKEY	Añade la protección WPA/WPA2 en el punto de acceso fraudulento. Ejemplo: -pK s3cr3tp4ssw0rd
-qS	--quitonsuccess	Detén el script después de obtener un par de credenciales.
-lC	--lure10-capture	Capture el BSSIDS del APS que se descubre durante la fase de selección AP. Esta opción es la parte de ataque de Lure10.
-lE LURE10_EXPLOIT	--lure10-exploit LURE10_EXPLOIT	Engañe al servidor de localización de Windows de usuarios cercanos de Windows haciéndoles creer que esta dentro del área previamente capturada con —caputura-lure10—. Parte del ataque Lure10
-iAM	--mac-ap-interface	Especifique la dirección MAC para la interfaz AP. Ejemplo: iAM 38:EC:11:00:00:00
-iEM	--mac-extensions-interface	Especifique la dirección de MAC para las extensiones de la interfaz. Ejemplo: -iEM E8:2A:EA:00:00:00
-iNM	--no-mac-randomization	No cambie la dirección de MAC
-hC	--handshake-capture	Capture los handshakes de WPA/WPA2 para verificar la contraseña. Ejemplo: -hC capture.pcap
-dE	--deauth-essid	Deauth todas las BSSIDs que tengan la misma ESSID de la selección AP o la ESSID dada por opción -e
	--logging	Permite el acceso. Output será guardado al archivo wifiphisher.log
-cM	--channel-monitor	Monitorea si el punto de acceso objetivo cambia de canal
	--payload-path	Permite el camino al payload. Previsto para uso de escenarios que tengan payloads.
-wE	--wpspbc-exploit	Monitorea si el botón del WPS-PBC Registrar está presionado
-wAI	--wpspbc-assoc-interface	La interfaz de WLAN utilizada para asociar al punto de acceso WPS

La herramienta no apunta a ser una escritura amistosa. Asegúrate de entender cómo funciona la herramienta antes de realizar una prueba menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

  

Read More

Datos de 31 millones de usuarios se filtran debido a una app de teclado en los smartphones.

Después de que el creador de la app del teclado virtual Ai.Type dejó 577GB de datos de Mongo-hosted sin seguridad, la información personal de más de 31 millones de clientes fue expuesta a todo el que tuviera conexión a internet, según un post en el blog de Kromtech Security Center cuyos investigadores fueron quienes encontraron la fuga de datos.

Los investigadores descubrieron que la información expuesta incluía números telefónicos, el nombre del dueño, aparatos, redes móviles, números del SMS, direcciones de correo electrónico, información asociada con las cuentas de redes sociales y demás.

“Esto expuso también la cantidad de información a la que se tiene acceso y cómo se obtiene el tesoro oculto de información, los usuarios promedio no esperan que se extraiga de sus teléfonos o tablets,” según lo escrito en el post del blog mencionado.

“Ésta falla resalta lo vulnerable que somos ante las apps o las herramientas de terceros que son descuidadas o imprudentes con su seguridad,” mencionóel experto de seguridad informática de Webimprints. “Los consumidores aceptan automáticamentelos permisos de seguridad y sin darse cuenta permiten que las apps tengan completo acceso a lo que se encuentra en sus celulares.”

La mayoría de los usuarios “jamás leen los permisos de información de las aplicaciones cuando la bajan y no se dan cuenta que están otorgando acceso a casi todo, incluyendo muchas áreas en la que el publicador de la app no tiene uso legitimo, unas cuantas fugas de información más como ésta y las cosas podrían cambiar,” dijo John Gunn, jefe de marketing en VASCO Data Security. “Anteriormente, la gente sólo se preocupaba por su propia ingenuidad, ahora los usuarios también se tienen que preocupar por la de sus amigos y conocidos, pues pueden dar acceso a su información a algunos irresponsables y sin límites, publicadores de la app.”

Jeff Williams, CTO y cofundador del Contrast Security, hizo un llamado a la FCC para encontrar al autor de la app mencionada por haber hecho declaraciones fraudulentas acerca del producto, nos menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

“El autor de la app prometido mayor seguridad y codificar la información pero fallado completamente, es un serio problema,” dijo Williams, “¿Cómo pueden los consumidores protegerse, si el marketing es libre de decir lo que sea sin asumir las consecuencias por mentir?”.

Sería mejor si “los vendedores de las apps no se quedaran solamente con lo que les dicen, si no que se les requiriera revelar información básica acerca de la seguridad de los productos,” comentó Williams, “No hallo alguna otra manera de arreglar el mercadeo de los softwares.”

DeMeo hizo un llamado al cambio “Un mejor modelo de seguridad: asumir que todas las apps y vendedores (aún las más confiadas) pueden ser las más descuidadas y pueden ser infringidas,” advirtiendo a los usuarios a no otorgar acceso a información personal de manera voluntaria “ni permitir lasapps que no son de confianza tengan acceso a la información de sus dispositivos moviles.”  

Read More

¿Cómo detener malware certificado?

Los autores de malwares frecuentemente añaden firmas de certificados expirados o comprometidos para evitar productos AV que no validen esas firmas.

La semana pasada, investigadores de la Universidad de Maryland presentaron evidencia acerca de que esta técnica esta mucho más expandida que lo que anteriormente se creía. Además, de medir la prevalencia de esta técnica, los investigadores también la utilizaron para añadir dos certificados diferentes que habían expirado a cinco ransomeware maliciosos de muestra. Obviamente, añadiendo una firma digital, expirada o no, a un pedazo del malware, no lo hace benigno Sin embargo, de acuerdo a los investigadores, esta técnica engaña a algunos nombres importantes de la industria como Crowdstrike, SentinelOne, Malwarebytes, TrendMicro, Microsoft, Symantec, Kaspersky y Sophos. fue una de los motores que marcaron cada uno de las diez muestras creadas como maliciosas. ¿Cómo fue que el Malware Webimprints pasó las pruebas de los investigadores?

Primero, revisemos la razón de las firmas y certificados para permitir a los usuarios confiar los códigos ejecutables. Certificados para firmar el código vienen del mismo sistema y arquitectura que los que se utilizan para las conexiones HTTPS en sitios web. Cuando códigos ejecutables son propiamente firmados con estos certificados, quiere decir que esta certificado para originar de la organización de la que el certificado fue emitido y no ha sido manipulado con la ciencia dice Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Cuando certificados por firma de código son emitidos, se les da una fecha de expiración, muchas organizaciones tienen una clave para los códigos de fecha de expiración. Para prevenir que los códigos sellados expiren con e certificado, como paso opcional, un sello firmado con la fecha y hora puede ser añadido. Este sello es generalmente emitido por un servidor de tiempo que corre por el Certificate Authority  que emite el certificado. Si uno de estos sellos no se añade, entonces la firma se considera inválida si el certificado ya expiró. Esto permite que la verificación se realice mientras el certificado sea válido. Mientras que todas las partes de la información estén presentes, la firma puede ser validada aun cuando haya expirado.

Los investigadores encontraron que los motores AV fueron engañados por firmas que podrían no ser válidas. Sin embargo, no pudieron engañar a la Business Control System, una máquina basada en el motor de aprendizaje para detectar ejecutables maliciosos. Hay dos razones principales para esto, primeramente, las características extraídas de los 10 millones de muestras no incluían información de la firma. Las características se centran en un rango de características como librerías importadas, funciones exportadas, y el nombre, tamaño, y complejidad de las secciones en el archivo PE. Ya que no entrenamos en firmas y certificados como aquellos que se usan en estos ataques, Business Control System no se engaña cuando se añaden firmas invalidadas o expiradas a un archivo, y regresa una etiqueta exacta a pesar de su presencia.

Encontrar ejecutables maliciosos es un problema bastante serio que se completa con la máquina aprendiendo a tomar decisiones con un whitelisting limitado en hashes y firmas.

Esta nueva capa ayuda a reducir los falsos pósitos en el despliegue del cliente. La validación imprecisa de los certificados pudo habernos llevado a confiar en algunas firmas inválidas añadidas al ransomware probadas por los investigadores y falsamente marcadas como benignas. Limitando los certificados que pongamos en la whitelist, y probando a fondo la validación de los códigos de los certificados nos da la confianza que nuestra whitelist solo afecta a software legítimo. Los investigación presentada la semana pasada por la Universidad de Maryland nos provee de confirmación adicional acerca de que nuestro enfoque ayuda a detectar una amplia gama de técnicas para mantener los falsos positivos en un rango bajo comenta Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Business Control System ya ha sido probado por muchas agencias independientes y estamos contentes de que los investigadores académicos determinaran nuestra capacidad de detección de malware sea fuerte en contra de este ataque en particular. Continua y rigurosamente, probamos el Business Control System. Internamente para validar que es el mejor motor AV en el mercado, sin embargo, es importante recordad que ningún método de protección es perfecto, es por ello que Webimprints empareja con Business Control System con otra industria líder en la protección de procesos de inyección, escalamiento privilegiado, robo de credenciales, entre otros. El acercamiento por expertos de seguridad informática de Webimprints es más que efectivo para detener una amplia gama de vectores de ataque. Como lo confirmó la investigación de la Universidad de Maryland, esto incluye detener los más nuevos y creativos ataques de malware que se escapen en una solución AV, pero son rápidamente detectados en la plataforma de Webimprints.

Read More