Evil Foca es un conjunto de herramientas de ataque de red para profesionales de pruebas de penetración y auditores de seguridad cuyo propósito es poner a prueba la seguridad en las redes de datos IPv4 e IPv6.
El software analiza automáticamente las redes e identifica todos los dispositivos y sus respectivas interfaces de red, especificando sus direcciones IPv4 y IPv6, así como las direcciones físicas a través de una interfaz cómoda e intuitiva.
Características
La herramienta es capaz de llevar a cabo diversos ataques tales como:
MITM sobre redes IPv4 con ARP Spoofing y DHCP ACK inyección.
MITM en redes IPv6 con Spoofing de Anuncio de Vecino, ataque SLAAC, DHCPv6 falso.
DoS (denegación de servicio) en las redes IPv4 con ARP Spoofing.
DoS (denegación de servicio) en redes IPv6 con SLAAC DoS.
Secuestro de DNS.
Cada sección se explica más a detalle en la sección siguiente.
Técnicas de Man in the middle (MITM)
El bien conocido "hombre en el medio" es un ataque en el que el malhechor crea la posibilidad de leer, añadir o modificar la información que se encuentra en un canal entre dos terminales sin que alguno de estos se de cuenta. Dentro de los ataques MITM en IPv4 e IPv6 de Evil Foca se encuentran las siguientes técnicas:
ARP Spoofing: Consiste en el envío de mensajes ARP a la red Ethernet. Normalmente el objetivo es asociar la dirección MAC del atacante con la IP de otro dispositivo. Cualquier tráfico dirigido a la dirección IP de la puerta de enlace predeterminada será enviado erróneamente al atacante en lugar de a su destino real.
Inyección DHCP ACK: Consiste en el atacante monitoreando los intercambios de DHCP y, en algún momento durante la comunicación, enviar un paquete para modificar su comportamiento. Evil Foca convierte la máquina en un servidor DHCP falso en la red.
Spoofing de Anuncio de Vecino: El principio de este ataque es idéntico al de ARP Spoofing, con la diferencia de que IPv6 no funciona con el protocolo ARP, en cambio toda la información se envía a través de paquetes ICMPv6. Hay cinco tipos de paquetes ICMPv6 utilizados en el protocolo de detección y el Evil Foca genera este tipo de paquetes, situándose entre la puerta de enlace (gateway) y la víctima.
Ataque SLAAC: El objetivo de este tipo de ataque es ser capaz de ejecutar un MITM cuando un usuario se conecta a Internet y un servidor no incluye soporte para IPv6 y al que, por tanto, es necesario conectarse a través de IPv4. Este ataque es posible debido al hecho de que el Evil Foca compromete la resolución de nombres de dominio una vez que está en los medios de comunicación, y es capaz de transformar las direcciones IPv4 en IPv6.
Servidor DHCPv6 falso: Este ataque implica que el atacante se haga pasar por el servidor DCHPv6, respondiendo a todas las solicitudes de red, distribución de direcciones IPv6 y un DNS falso para manipular el destino del usuario o denegar el servicio.
Denegación de Servicio (DoS): El ataque DoS es un ataque a un sistema de máquinas o de red que se traduce en que el servicio o recurso sea inaccesible para sus usuarios. Normalmente provoca la pérdida de conectividad de la red debido al consumo de ancho de banda de la red de la víctima, o sobrecarga de los recursos del sistema de la víctima.
Ataque DoS en IPv4 con ARP Spoofing: Este tipo de ataque DoS consiste en asociar una dirección MAC inexistente en la tabla ARP de la víctima. Esto significa que la máquina cuya tabla ARP se ha modificado sea incapaz de conectarse a la dirección IP asociada a la MAC inexistente.
Ataque DoS en IPv6 con el ataque SLAAC: En este tipo de ataque se genera una gran cantidad de paquetes "Router Advertisement", destinada a una o varias máquinas, anunciando routers falsos y asignación de una dirección IPv6 y puerta de enlace diferente para cada router, colapsando el sistema y logrando que las máquinas no respondan.
Secuestro de DNS: El ataque o secuestro de DNS consiste en la alteración de la resolución del sistema de nombres de dominio (DNS). Esto se puede lograr mediante malware que invalida la configuración de una máquina de TCP/IP para que apunte a un servidor DNS pirata bajo el control del atacante, o por medio de un ataque MITM, con el atacante siendo la parte que recibe las peticiones DNS, y respondiendo a sí mismo a una petición DNS específica para dirigir la víctima hacia un destino específico seleccionado por el atacante.
Puedes descargar EvilFOCA 0.1.4.0 aquí.
El software analiza automáticamente las redes e identifica todos los dispositivos y sus respectivas interfaces de red, especificando sus direcciones IPv4 y IPv6, así como las direcciones físicas a través de una interfaz cómoda e intuitiva.
CaracterísticasLa herramienta es capaz de llevar a cabo diversos ataques tales como:
MITM sobre redes IPv4 con ARP Spoofing y DHCP ACK inyección.
MITM en redes IPv6 con Spoofing de Anuncio de Vecino, ataque SLAAC, DHCPv6 falso.
DoS (denegación de servicio) en las redes IPv4 con ARP Spoofing.
DoS (denegación de servicio) en redes IPv6 con SLAAC DoS.
Secuestro de DNS.
Cada sección se explica más a detalle en la sección siguiente.
Técnicas de Man in the middle (MITM)
El bien conocido "hombre en el medio" es un ataque en el que el malhechor crea la posibilidad de leer, añadir o modificar la información que se encuentra en un canal entre dos terminales sin que alguno de estos se de cuenta. Dentro de los ataques MITM en IPv4 e IPv6 de Evil Foca se encuentran las siguientes técnicas:
ARP Spoofing: Consiste en el envío de mensajes ARP a la red Ethernet. Normalmente el objetivo es asociar la dirección MAC del atacante con la IP de otro dispositivo. Cualquier tráfico dirigido a la dirección IP de la puerta de enlace predeterminada será enviado erróneamente al atacante en lugar de a su destino real.
Inyección DHCP ACK: Consiste en el atacante monitoreando los intercambios de DHCP y, en algún momento durante la comunicación, enviar un paquete para modificar su comportamiento. Evil Foca convierte la máquina en un servidor DHCP falso en la red.
Spoofing de Anuncio de Vecino: El principio de este ataque es idéntico al de ARP Spoofing, con la diferencia de que IPv6 no funciona con el protocolo ARP, en cambio toda la información se envía a través de paquetes ICMPv6. Hay cinco tipos de paquetes ICMPv6 utilizados en el protocolo de detección y el Evil Foca genera este tipo de paquetes, situándose entre la puerta de enlace (gateway) y la víctima.
Ataque SLAAC: El objetivo de este tipo de ataque es ser capaz de ejecutar un MITM cuando un usuario se conecta a Internet y un servidor no incluye soporte para IPv6 y al que, por tanto, es necesario conectarse a través de IPv4. Este ataque es posible debido al hecho de que el Evil Foca compromete la resolución de nombres de dominio una vez que está en los medios de comunicación, y es capaz de transformar las direcciones IPv4 en IPv6.
Servidor DHCPv6 falso: Este ataque implica que el atacante se haga pasar por el servidor DCHPv6, respondiendo a todas las solicitudes de red, distribución de direcciones IPv6 y un DNS falso para manipular el destino del usuario o denegar el servicio.
Denegación de Servicio (DoS): El ataque DoS es un ataque a un sistema de máquinas o de red que se traduce en que el servicio o recurso sea inaccesible para sus usuarios. Normalmente provoca la pérdida de conectividad de la red debido al consumo de ancho de banda de la red de la víctima, o sobrecarga de los recursos del sistema de la víctima.
Ataque DoS en IPv4 con ARP Spoofing: Este tipo de ataque DoS consiste en asociar una dirección MAC inexistente en la tabla ARP de la víctima. Esto significa que la máquina cuya tabla ARP se ha modificado sea incapaz de conectarse a la dirección IP asociada a la MAC inexistente.
Ataque DoS en IPv6 con el ataque SLAAC: En este tipo de ataque se genera una gran cantidad de paquetes "Router Advertisement", destinada a una o varias máquinas, anunciando routers falsos y asignación de una dirección IPv6 y puerta de enlace diferente para cada router, colapsando el sistema y logrando que las máquinas no respondan.
Secuestro de DNS: El ataque o secuestro de DNS consiste en la alteración de la resolución del sistema de nombres de dominio (DNS). Esto se puede lograr mediante malware que invalida la configuración de una máquina de TCP/IP para que apunte a un servidor DNS pirata bajo el control del atacante, o por medio de un ataque MITM, con el atacante siendo la parte que recibe las peticiones DNS, y respondiendo a sí mismo a una petición DNS específica para dirigir la víctima hacia un destino específico seleccionado por el atacante.
Puedes descargar EvilFOCA 0.1.4.0 aquí.
