bitcoin prize

"DNS SNOOPING"

"DNS SNOOPING"
"Como conocer que direcciones visitan en el DNS"
"Distintos Metodos"
a veces y sin darnos cuenta los servidores DNS nns pueden ser de una ayuda monumental al momento de estar realizando una auditoria de seguridad informatica.
el server dns puede ser nuestro principal aliado cuando de recogida de informacion se trata y de reconocimiento de informacion.
la cache del dns puede ser vista por terceros para estudiar ala victima u objetivo.
esto no puede ser una informacion vital dentro de la jearquia de internet pero si nos encontramos dentro de una organizacion y tenemos constancia de que dicha organizacion cuenta con servidores dns internos, entonces este pequeño fingerprint nos sera de bastante utilidad,  ya que a partir de aqui podemos saber que correos utilizan los empleados,  hacia donde se encuentran las mayores conexiones por parte de los empleados.
de esta informacion recogida podemos explotar otros fallos de seguridad internos dentro de la organizacion,  actualmente existen diversos metodos para llegar a recolectar los datos dentro de la cache del servidor dns,   esto permite al atacante recolectar informacion para por ejemplo crear una campaña de phishing despues  hacia los empleados o hacia el departamento de informatica,  al ser el departamento de informatica uno de los medianamente dificiles de atacar ya que al poseer de conocimientos, estos mismos desconfian de algunos detalles de internet,  pero sabemos de antemano que todo ser humano tiene vulnerabilidades en sus pensamientos y en sus gustos,  los atacantes se aprovechan de ello utilizando ingenieria social suficientemente sofisticada para que estos mismos caigan en su trampa, tal vez utilizando los encantos de una femina como hemos visto en algunas peliculas que ya se las mencionare despues ;).
uno de los metodos mas faciles e intuitivos es del metodo de un script con el lenguaje de programacion lua que podemos crear nuestros propios scripts e importarlos hacia nmap como parte de las extensiones del propio escaner de puertos.
 con nmap contamos variaciones de scripts ya preconstruidos para hacer algunas tareas asi como auditar en busca de vulnerabildiades y su posterior parchado en equipos de nuestra red.
SCRIPT NMAP DNS CACHE SNOOPING
ahora vamos a probar un script con nmap para ver las respuestas no recursivas que nos tienen que ofrecer los servidores dns,  al ser estas respuestas no recursivas es decir no pueden ir desde nuestro servidor dns objetivo hacia otro servidor dns de replicador,  entonces nos podra arrojar los dns root o primarios en algunas ocasiones, aunque esto cabria destacar que todo depende de las configuraciones desde los servidoes, entonces todo depende de los administradores de sistemas :V XD LOL.
vamos hacer una prueba con nslookup antes de entrar al nmap:
los mensajes de query refused indican que no existen tales direcciones ni dominios en la cache del servidor lo que muy probablemente no hayan sido resueltas en algun tiempo de vida del refrescamiento del servidor.
ahora vamos a trastear con otros servidores  y consultando la cache ahi mismo:
vemos que fallo al encontrar a petardas y a ith pero lo logro con facebook.com,  ya que el dominio de la red social es el que mas personas consultan al mismo tiempo por lo cual los dns de google publicos siempre los tienen en cache sin necesidad de la recursividad,  al contrario con los demas dominios quienes los consultan por un tiempo y despues expiran en local lo cual provoca la perdida en la memoria cache del servidor dns.
ahora vamos a ver que es lo que nos arroja con el script de nmap:

lo que en instancia nos da mucha informacion acerca de la empresa que estamos auditando, podemos ver las paginas que mas visitan los empleados de la misma,  dandonos mucha imaginacion para los posteriores ataques que perfilaremos.

 uno de los otros metodos es buscar en la herramienta foca con el modulo para dns snooping incluido en la misma herramienta.
una de las posibilidades de esta recoleccion de informacion es hacer despues un dns spoofing para tomar o falsificar todo el servidor desde donde las victima o la victima hace sus resoluciones dns,  una vez tenemos controlado un servidor dns, podemos redirigir todo el trafico hacia direcciones falsificadas para hacer un phishing bastante inteligente, la victima al no tener consciencia de esto, caera eficientemente en la trampa.
 una parte importante es que el dominio update.microsoft pertenece a microsoft y a sus actualizaciones, entonces podemos buscar en las caches aver si alguna de las maquinas solicita actualizaciones y hasta poder perfilar el ataque evil grade que se basa en las actualizaciones falsificadas e infectadas para tomar control de los ordenadores.


como vemos la pagina anterior tiene en su dns cache el sitio o el dominio cajaespana.es,  cuando un dominio esta en la cache esto quiere decir que los empleados de la intranet visitan mucho este mismo dominio, el server se refresca cada dos minutos esto es por eso que tiene la opcion de refrescar o buscar cada dos minutos en la utilidad foca.
ahora vamos a checar con dns snoopy y tcpdump aver que resultado tiene nuestro fingerprinting y vamos analizar que es lo que dice nuestro trafico de red.
 vamos aver que tal el script dns-snoopy:
y el resultado es NADA! XD,  y es que nos dice que en la cache no hay nada almacenado pero si lo hay , lo que pasa es que un bendito firewall esta detras de este misterio haciendonos la vida un poco mas dificil.
 y de seguro algunas veces nosotros nos frustramos asi con la anterior cara en algunas ocasiones cuando estamos realizando alguna auditoria de seguridad en la fase de recogida de informacion.
debemos tener paciencia no todo sale como queramos en la cyberseguridad,  uno de los mayores pilares es ser muy pero muy paciente para que nuestros ataques sean completamente exitosos.
vamos a seguir buscando servidores vulnerables aver si en alguna ocasion tenemos exito rotundo:
lo ideal es realizar una busqueda no recursiva ya que recordad que tenemos que hacer la consulta solo en la cache del o de los servidores dns.  (domain name system).

OBSERVANDO EL CACHE MEDIANTE LOS TTL MEDIANTE EL SCRIPT DNS SNOOP DOG.
un metodo interesante que lei en un paper bastante peculiar es observando y analizando ademas de comparando los ttl de las respuestas autoritativas o basadas en las consultas,  es decir basadas en las consultas y los medios de respuesta podemos intuir que es lo que ha sido visitado recientemente en la cache del o de los servidores dns.
si por ejemplo nosotros hacemos una consulta hacia el servidor dns no recursiva (para que no mande los paquetes hacia el servidor dns autoritario),  y en la respuesta obtenemos que para determinado x recurso nuestro ttl o time to live es demasiado bajo, entonces podemos intuir que el servidor lo ha visitado mucho antes y lo obtiene desde la propia cache del mismo servidor dns.

procedemos a clonarlo con git clone la siguiente direccion:
git clone https://github.com/felmoltor/DNSSnoopDogg
 ojo: en caso de que nos tire error es por que al estar escrito en ruby puede que no tengamos algunas gemas de ruby instaladas por lo que se instalan de la siguiente manera desde la terminal:
gem install NOMBRE_GEMA
                           
estos en un principio son los diccionarios que vamos a comparar las respuestas, el diccionario queda a nuestra eleccion ya que son dominios que vamos a comparar para ver si se han resuelto en un tiempo determinado dentro de la cache del server dns.

lo que en teoria puede facilitarnos mas investigaciones para seguir infltrandonos dentro de la red sigilosamente y proceder con nuestro test de intrusiones ciberneticas.                              

http://hakan.niska.se/binary/DNS_Cache_Snooping_1.1.pdf 
https://nmap.org/nsedoc/scripts/dns-cache-snoop.html 
https://github.com/z0mbiehunt3r/dns-snoopy 
http://cs.unc.edu/~fabian/course_papers/cache_snooping.pdf 
https://github.com/felmoltor/DNSSnoopDogg 

0 comments:

Publicar un comentario

My Instagram

Uso cookies para darte un mejor servicio.
Mi sitio web utiliza cookies para mejorar tu experiencia. Acepto Leer más