Anoche saliste de fiesta, la ocasión se lo merecía, habías construido tu primer USB-KeyLogger. Desgraciadamente, se te fue un poco la mano con el alcohol y hoy te levantas en un lugar en el que nunca antes habías estado… Seguramente, lo primero que harás una vez levantado es mirar a tu alrededor y observar el entorno. Buscar elementos que te resulten familiares que te sirvan para hacerte una idea de donde estas y contra que es lo que te enfrentas.

No!, no me he vuelto loco. Sin embargo la situación es similar a cuando conectas tu ordenador a una red desconocida (ya sea por cable o Wireless). Inicialmente, si tienes suerte, habrá un servidor de DHCP que te proveerá de la mínima información necesaria para poder hacer uso de la red; una ip, una mascara de red y una puerta de enlace. Sin embargo nosotros queremos saber un poco mas sobre los aquello que nos rodea. Porque?, imagínate por ejemplo que alguien esta haciendo un mitm (man in the middle attack) con ettercap…

Pues bien, hoy os presento netdiscover. Haciendo uso del ARP (Address resolution protocol), Netdiscover localizará todos los equipos de la red devolviéndonos una relación entra la ip local y la MAC de cada equipo.

Los que creyeseis (yo mismo hace una semana) que con broadcast un ping (ICMP echo request) es suficiente estáis equivocados. En muchas ocasiones os encontrareis que la función ping esta deshabilitada (por motivos de seguridad).

Esta es la pagina oficial de netdiscover. También es posible que os podáis hacer con el a través de alguno de los repositorios de tu distro.

Una vez instalado es bueno leerse el manual (man netdiscover). A groso modo estas son algunas de las opciones disponibles

Opciones Principales:

-i dispositivo: interfaz de red que quieres usar; eth0, eth1, wlan.

-r rango: rango que de deseas escanear. Ex: 192.168.1.0/24 escaneara todas las ips entre 192.168.1.0 y 192.168.1.255.

-p: modo pasivo. No infectará nada, solo escucha las peticiones ARP que lleguen a nuestro equipo (eficaz pero mas lento).

-s time: tiempo en milisegundos entre peticiones ARP. Útil si no quieres saturar la red o no quieres ser detectado por algún IDS.

-f: fast mode.

Ejemplos de Uso:

• Búsqueda de direcciones comunes en eth0

# netdiscover -i eth0

• Búsqueda en modo rápido de direcciones comunes en eth0 (solo la puerta de enlace)

# netdiscover -i eth0 -f

• Ejemplo de análisis de algunos rangos

# netdiscover -i eth0 172.26.0.0/24
# netdiscover -i eth0 192.168.0.0/16
# netdiscover -i eth0 10.0.0.0/8

• Idem que el primer ejemplo pero con un intervalo de 0.5ms (1ms por defecto)

# netdiscover -i eth0 -s 0.5

• Búsqueda pasiva. Solo analiza el trafico entrante. No infectará nada a la red.

# netdiscover -i eth0 -p

Conclusion:

Personalmente estoy encantado con esta sencilla aplicacion. Obviamente netdiscover no tiene la potencia de otras aplicaciones como nmap, pero sin embargo “lo que hace lo hace bien” de una manera rápida y sencilla. Puede resultar muy útil en las primeras etapas del análisis de una red.

Hoy nos olvidamos de cables, backdoors, ARP Poisoning, ettercap, sniffers y todo aquello que tenga que ver con redes.

Mucha gente cree que con proteger su equipo contra ataques atraves de la red con firewalls y antiviruses, el ordenador ya es seguro e impenetrable. Sin embargo, ¿que pasa cuando el atacante tiene acceso físico a la maquina? ¿Es realmente peligroso?

Para demostrar el potencial de este tipo de ataques, hoy vamos a crear nuestro propio USB-Keylogger. Un “pendrive” que al conectarlo a nuestro querido Windows, guardara todo aquello que tecleemos sin que, por supuesto el usuario “victima” se entere.

Bueno…, miento, en realidad este metodo tiene truco, ya que para hacerlo funcionar windows tiene que tener habilitada el mecanismo de autoarranque. Es decir, cuando insertemos el pendrive, windows debera ejecutar el archivo autorun.inf. Sin embargo, por lo general no es problema ya que windows tiene dicha opcion activada por defecto.

Requisitos:

1. Maquina con Windows (probado en XP SP2)
2. Un Pendrive (de con al menos 15 MB)

Instalación:

1. Descárgate este archivo y descomprímelo en el directorio raíz del Pendrive.

Ataque:

1. Conectar el USB a la maquina.
2. Seleccionar la primera opción en el menú de Auto arranque “Iniciar Keylogger”.
3. Una vez arrancado el Keylogger pulsa F12 para acceder al los menus (opcional).

Al pulsar “Aceptar” veras que hay un nuevo proceso llamado keylogger.exe, este es el encargado de registrar todas las teclas pulsaciones realizadas sobre el teclado.

Acceso a los Logs:

1. Los logs se irán almacenando en la carpeta “logdir”.
2. Usa tu editor de texto favorito para acceder a ellos.

Como Funciona:

Cuando conectamos un medio extraíble a nuestro sistema (CDs, DVDs, Pendrives, etc), Windows nos permite incluir un archivo “Autorun.inf” en el que podemos definir el comportamiento del medio, ex;dar nombre a la unidad, asignarle iconos especiales o lanzar aplicaciones. Asi es como Juegos, CDs de Música e Instaladores nos sorprenden con sus encantadores menús cada vez que los insertamos en el ordenador.

Desde Autorun.inf podemos ejecutar cualquier aplicación, lo único que debemos de conocer es su ubicación, en este ejemplo un keylogger, pero perfectamente podría ser reemplazado por un ladrón de passwords, virus, troyanos, o lo que se nos ocurra.

En este ejemplo solo usaremos los comandos mas basico:

label: Asigna el nombre de la unidad.
icon: ubicacion del icono que se asignara a la unidad.
action: Texto que se mostrara como opcion por defecto en el menu de autoarranque.
shellexecute: Aplicacion que ejecutar.

Autorun.inf

[Autorun]
label=Icaix.com
icon=”icaix.ico”
action=Iniciar Keylogger
shellexecute= “Keylogger.exe”

Keylogger

El keylogger usado se llama PyKeylogger. Esta es la pagina oficial. Os recomiendo que le echéis un ojo, es open source con licencia GPL.
El binario del ejemplo no es exactamente el de la página oficial. Para eliminar el pop up inicial y hacer el ataque más real he modificado la línea 114 del archivo “keylogger.pyw”. Aquí una copia.

Prevención:

La forma de evitar este tipo de ataques es deshabilitar la opcion de autoarranque de windows. Aquí os dejo un link de cómo hacerlo.