Post23 nn

Historia

La herramienta Evil Foca fue desarrollada por el equipo de informatica64 uno de sus enfoques que podemos darle es para realizar ataques a redes desde MITM hasta DoS y DNS Hijacking por mencionar unos de estos lo podemos realizar sobre IPv4 y IPv6.

Instalación


Hace unos meses la herramienta se lanzó como open source, el link es este https://github.com/ElevenPaths/EvilFOCA por si alguien está interesado en hacer una contribución al proyecto o arreglar bugs.


C:\Users\Jake\Desktop\Backtrackacademy\Evil Foca\1.PNG


Descargamos el .zip


C:\Users\Jake\Desktop\Backtrackacademy\Evil Foca\2.PNG

Lo descomprimimos en una carpeta


C:\Users\Jake\Desktop\Backtrackacademy\Evil Foca\3.PNG

Nos generara estos archivos, deberemos ejecutar EvilFOCA.exe

C:\Users\Jake\Desktop\Backtrackacademy\Evil Foca\4.PNG

Puede que les del siguiente error para solucionar esto tenemos que descargar lo siguiente


C:\Users\Jake\Desktop\Backtrackacademy\Evil Foca\5.PNG

Lo instalamos y quedará solucionado.

Ahora al entrar a FOCA nos saldrá lo siguiente

C:\Users\Jake\Desktop\Backtrackacademy\Evil Foca\7.PNG

Debemos escoger nuestra interfaz de red, si estamos conectados por cable o por red.

Práctica

Al entrar a Evil FOCA nos encontraremos con el siguiente menú

C:\Users\Jake\Desktop\Backtrackacademy\Evil Foca\11.png

Una vez familiarizados con el menú de FOCA podemos observar los vectores de ataque que nos permite realizar.

  • MITM IPV6

  • MITM IPV4

  • DoS IPv6

  • DoS IPv4

  • DNS Hijacking

MITM: Por sus siglas en español un ataque de hombre en medio nos permite interceptar los mensajes enviados entre dos computadoras, en este caso la víctima y una fuente que esté consultando. Por ejemplo podríamos realizar un ataque MITM que se encargue de ver la contraseña de un usuario que esté navegando en una pagina insegura.

DoS: Por sus siglas en español un ataque de denegación de servicios nos permite dejar inaccesible a los usuarios legítimos de un servidor, un ataque DoS consiste en enviar demasiados paquetes a una ip en especifico esto hace que la ip no tenga tiempo para responder a tantas solicitudes y colapse dejando sin acceso a las personas que quieran ingresar.

DNS Hijacking: Es una técnica que busca alterar la resolución de nombre de dominio(DNS) de la ip victima y redirigirlo a cualquier página que desee, muchas veces lo usan para atraer visitas a páginas y poder generar dinero con esto.

Entre otros vectores de ataques podemos encontrar lo que son:

SLAAC ATTACK: Consiste en realizar un ataque MITM cuando un usuario se conecta a internet y el servidor no tiene soporte para ipv6 por lo que se conecta por ipv4. Este ataque solo es válido cuando el usuario tiene una dirección ipv6.

ARP Spoofing: Consiste en enviar mensajes ARP a la red con nuestra dirección MAC y la ip de otra computadora, esto hará que cualquier mensaje enviado a la puerta de enlace sea mandado al atacante en lugar de al destino real.

DHCP ACK Injection: Evil FOCA convertirá nuestra computadora en un servidor DHCP falso y estará monitoreando a cada momento el intercambio de DHCP hasta que logre alterar su comportamiento.

Neighbor Advertisement Spoofing: Este tipo de ataque es similar al ARP Spoofing con la única diferencia que el protocolo ARP no funciona en IPV6 sino que envía paquetes ICMPv6. FOCA genera este tipo de paquetes situándose entre la pasarela y la víctima.


Ataque DoS con EVIL FOCA

El fin de este ataque será dejar sin conexión a un equipo a otro equipo de nuestra red local. Para esto necesitamos tener la maquina atacante(Windows) y una maquina víctima(Xubuntu)

Lo primero que haremos será ver la dirección ip de la máquina víctima, para obtener la ip de la maquina victima podemos hacerlo con un escaneo de nmap.

https://backtrackacademy.com/curso/nmap

Esta sera la maquina victima a la que dejaremos sin conexión

Seleccionaremos el equipo víctima que sera la ip 192.168.1.5 y que perderá conexión con la IP 192.168.1.1(Puerta de enlace) y luego activaremos el ataque. Desde Wireshark podremos ver todo el ruido que el ataque está causando.

https://backtrackacademy.com/curso/wireshark


Consejos: Este ataque es fácil de identificar en ambientes corporativos.

La maquina víctima puede tardar un tiempo en perder la conexión



Artículos que te pueden interesar