Hola,
Tengo una duda relacionada a este tipo de ataque.

Según entiendo es que los atacantes buscan primero
comprometer a los servidores NTP(vulnerables), para luego realizar múltiples request con la dirección IP de la victima(realizando un spoofing) para que este reciba todo el tráfico de respuesta.
¿Así funciona este tipo de ataque?

gracias por su ayuda

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Bueno la tecnología VPN proporcionan los 3 niveles de seguridad recomendados (Integridad, confidencialidad y Disponibilidad) y para este caso estaría entrando en acción la confidencialidad de los datos, esto lo logra mediante protocolos de encriptación con diferentes longitudes de bits como AES, DES, 3DES, etc. Por lo tanto  al realizar la captura de paquetes debería mostrar todos los datos crifrados, según el algoritmo.

SALUDOS 

No todas las soluciones de VPN brindan cifrado.

Totalmente de acuerdo contigo ya que existen VPNs como GRE, túneles para la transicion de IPv4 sobre redes IPv6, pero te pregunto algo ¿Expondrías tus datos en una red insegura o pública como Internet?.

Saludos

GRE no es exactamente para la transición de IPv4 sobre redes IPv6. GRE es simplemente un protocolo para el establecimiento de túneles a traves de internet.

Para la transición de IPv4 a IPv6 existen diferentes métodos;

1.- Pila dual
2.- Túneles (este es al que haces referencia ya que  permiten a un elemento IPv6 aislado comunicarse con otras redes IPv6 sobre la infraestructura IPv4 existente. Para establecer esta "configuración" se requiere que los nodos extremos soporten el prímero que mencione (Pila dual)).
3.- Traducción de Protocolo.

Respecto a tu última pregunta; No me queda claro el objetivo ni el sentido de la misma. De todas formas te diría que estamos expuestos todos los días. A diario consumimos aplicaciones que no usan conexiones cifradas y estamos exponiendo nuestros datos (muchas veces información sensible). Tu navegas por un túnel cifrado todos los días, a toda hora?. No lo creo... NO es el objetivo generar una discusión sobre la pregunta que me hiciste ni tampoco "desvirtuar" el tema del topic.

Tampoco es cierto que una VPN ofrece integridad, confidencialidad y disponibilidad. El primero y el tercero no tiene absolutamente nada que ver con VPN, sino que va ligado a la infraestructura sobre la que corre el terminador de VPN.

Respecto al algorítmo de cifrado que implementan las VPN de hoy en día, muchos de ellos son crackeables de forma medianamente sencilla.

Salutes,

La conexión VPN solo se usaría para ciertos escenarios que la empresa requiera, no se.. VPN para la conexión para los usuarios a larga distancia (clientes remotos) o para interconectar distintos sites. Yo me baso a implementaciones VPN con el framework de IPSec. Sobre lo del tunel para la transición de IPV4 a IPv6 en ningún momento dije que era sobre GRE.

Y se puede mejorar los mecanismos de cifrado,autenticidad e integridad de datos colocando tecnologías mas robustas, claro.. no siempre se puede tomar algo como "Seguro", ya que los métodos de crack o explotación de vulnerabilidades aumentan día a día.

Gracias por comentar
Saludos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Bueno la tecnología VPN proporcionan los 3 niveles de seguridad recomendados (Integridad, confidencialidad y Disponibilidad) y para este caso estaría entrando en acción la confidencialidad de los datos, esto lo logra mediante protocolos de encriptación con diferentes longitudes de bits como AES, DES, 3DES, etc. Por lo tanto  al realizar la captura de paquetes debería mostrar todos los datos crifrados, según el algoritmo.

SALUDOS 

No todas las soluciones de VPN brindan cifrado.

Totalmente de acuerdo contigo ya que existen VPNs como GRE, túneles para la transicion de IPv4 sobre redes IPv6, pero te pregunto algo ¿Expondrías tus datos en una red insegura o pública como Internet?.

Saludos

Yo también soy nuevo en estos temas de explotación de vulnerabilidades, pero lo que si deberías de tener es conocimientos en Networking o al menos en redes UDP y TCP/IP. ( Empiesa por ahí, según mi criterio).

Saludos 

Bueno la tecnología VPN proporcionan los 3 niveles de seguridad recomendados (Integridad, confidencialidad y Disponibilidad) y para este caso estaría entrando en acción la confidencialidad de los datos, esto lo logra mediante protocolos de encriptación con diferentes longitudes de bits como AES, DES, 3DES, etc. Por lo tanto  al realizar la captura de paquetes debería mostrar todos los datos crifrados, según el algoritmo.

SALUDOS 

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
HOLA!!!

Exactamente, pierde conectividad hasta que se loguee correctamente en otro accessPoint.

GRACIAS POR LEER!!!

Claro, justamente por eso te decía y el Roaming de los usuarios? entonces ahora determino que no aplicas el Roaming.

PD: Solo era una observación en tu red.
Saludos

Lo del NAT Transversal, tengo entendido que se habilitaba o deshabilitaba al realizar conexiones VPN con IPSec, es decir, habilitamos cuando nuestro dispositivo o servidor VPN está detrás de equipo que realiza el NAT y deshabilitamos cuando el dispositivo que realizará la VPN es el que da la cara a Internet. No me quedo claro los de las conexiones del P2P respecto al nat transversal, ya que para estas conexiones P2P, existe un un dispositivo o equipo intermediario (proxy) para que fluya la comunicacion entre ambos puntos PUBLICOS.

Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Aver..., un snifer no vas a poder poner en la maquina del atacante, como crees q lo lograras?, ademas la pregunta principal esta orientada a que queres protejer tus CLIENTES de este tipo de ataques..., que colocaras un snifer a cada atacante?? xDD...

Por eso dije lo del sniffer en el servidor web. Que puede ser mas logico. ya que podrias controlar mejor las entradas y salidas.

Igualmente nose porque se esta haciendo extenso este tema. Fleshed dice que tiene acceso al CPANEL, es tan simple como entrar a los archivos php y buscar el de configuracion del scam, ahi vas a tener la respuesta.

Yo dije que puedo poner el Sniffer en la maquina "victima", para ver las conexiones hacia donde envía dicho tráfico, pero me parece que solo veré conexiones hacia la dirección IP donde esté alojado los archivos fraudulentos.

Ya tube acceso al Control panel, desde ahi logré localizar el correo hacia donde se enviaba los logos. Muchas gracias por la ayuda de todos.

Solicito cerrar el post.

MUCHAS GRACIAS A TODOS
SALUDOS.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
HOLA!!!

El roaming de los usuarios? que queres decir? 

Cada usuario que se conecta a un access point es conectado al servidor DHCP del Router principal instantaneamente.

GRACIAS POR LEER!!!

Hola,
Me refiero.. por ejemplo si un usuario del AP1 ya no se encuentra en su área de cobertura del dicho AP, pierde conectividad hasta que tenga que asociarse nuevamente a otro Access Point?

Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
HOLA!!!

Te explico, uso esa arquitectura en mi oficina:

Tenemos un router Gigabit con posibilidad de ser inalambrico aunque no lo usamos asi, este es el server DHCP, luego 4 redes creadas por accespoint que comparten la red por medio de un cable que esta conectado al router principal. Cada red puede tener su SSID propio y contraseña propia (aunque en fin sea la misma red), pero por practicidad le pusimos a todos SSID Similares y Contraseñas iguales.


Router Gigabit -> Server DHCP [Este podria tener seteado un SSID distinto (en mi caso no pero en el tuyo si)]
Router Gigabit [CABLE de RED] AccessPoint1 [LaFundacion1(SSID) WIFI] Dispositivos
Router Gigabit [CABLE de RED] AccessPoint2 [LaFundacion2(SSID) WIFI] Dispositivos
Router Gigabit [CABLE de RED] AccessPoint3 [LaFundacion3(SSID) WIFI] Dispositivos
Router Gigabit [CABLE de RED] AccessPoint4 [LaFundacionX(SSID) WIFI] CamarasIP



De esta manera Solo el router principal maneja 4 Flujos de datos por 4 cables Con velocidad Gigabit entre el y los AccessPoint, todos los clientes se conectan al accesspoint mas cercano, alivianando asi las redes y permitiendo a los sistemas funcionar con velocidad.

GRACIAS POR LEER!!!

Y el roaming de los usuarios?

Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si logras tener acceso directo puedes montar un sniffer de por medio y ver a donde envia los datos

Regards,
Snifer

Este sniffer lo colocaría en la supuesta "maquina victima"?

Gracias por comentar.
Saludos

No, creo q a lo que se refiere es un sniffer en el servidor que esta el scam, me parece.

De cualquier forma, la mayoria estan programados en PHP, por lo cual si sabes php y lees el codigo (ya que dijiste q tenias acceso al panel), vas a entender adonde lo envia. No todos los scam son iguales, y seguramente vas a encontrar muchos q son diferentes, si queres encontrar un patron en comun, olvidate, no es una solucion buena.

Ezephp la sugerencia que indico es para que el usuario se ponga a revisar en el caso de que no se tenga acceso fisico se puede monitorear las conexiones o solicitudes que se realizan desde el browser.

Regards,
Snifer

Pero me parece que al colocar un sniffer en la máquina de un usuario solo vería conexiones hacia donde está alojado el sitio web o me equivoco?

Saludos y gracias por comentar

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si logras tener acceso directo puedes montar un sniffer de por medio y ver a donde envia los datos

Regards,
Snifer

Este sniffer lo colocaría en la supuesta "maquina victima"?

Gracias por comentar.
Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
generalmente existe un archivo con extencion X, supongamos .php, el cual tiene el mail del atacante....


otro factor tambien puede ser q guarde los datos en el mismo servidor en un TXT, escondido por algun directorio...

Como lo pensas evitar eso?? (pregunta que te hago.)


Yo mi opinion personal es darle seguridad al servidor/web para que no tengan acceso. Porque si vos evitas el pishing de otra forma, corres el riesgo de que rooteen el servidor y cometerian su objetivo igual

Gracias por comentar, bueno referente a tu pregunta en realidad no tengo gestión del servidor web legítimo yo simplemente lo que hago es que mis usuarios no se vean afectados por estos ataques de Phishing y por curiosidad queria entender como envían los logos hacia el atacante o en base a que código, en ataques de Phishing relacionados a BANCOS.
Yo personalmente hace años realizaba scams de sitios por cuestiones de conocimiento para capturas de un usuario y contraseña.. era sencillo poder capturar este login y lo terminaba alojando en un txt local en el hosting donde alojaba mi scam, pero si analizamos el caso de scam de un banco se dificulta algo más, a mi parecer.

Gracias
Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No es muy difícil amigo, ahí te envie un MP, si deseas me avisas y te doy una mano 

Ok correcto, ya leí tu MP.. Muchas gracias, espero me puedas ayudar.

Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hacer el analisis como tal, dudo que podamos hacer aquí todo ya que gran parte como mi persona trabajamos y en tiempos muertos libres foreamos como mi persona pero si podremos colaborarte eso estoy seguro!

Regards,
Snifer

Ok, ya tengo un caso de Phishing detectado, lo que tengo que hacer es guardar la página como. (Pagina principal) ? O se requiere entrar sitio por sitio que yo quiero analizar? .. O solo requiero el formulario donde piden los datos bancarios?

Muchas gracias
Saludos

Lo que puedes hacer es comenzar a analizar algun JS por ahi y como dice thyp0n si tienes acceso al sitio cpanel y demas ver que anda metido posteriormente a donde hace conexiones urls y demas!

Regards,
Snifer

No poseo los skills para analizar estos códigos de programación y como comenté a thyp0n si tengo acceso al cpanel pero no se como detectar hacia donde van los logs de autenticación.

Saludos
Y muchas gracias otra vez

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Algunos terminos que se manejan en el mundo del cyber crimen, en cuanto al phishing.

A la pagina clonada se le dice SCAM, al la web donde se alojara se le dice shell o cpanel (solo por el simple hecho de que en la web "hackeada", se obtuvo acceso al cpanel o se subió una web shell), el archivo con el que se envía spam es un mailer y muchas veces solo es cuestión de ver el código del correo para saber de donde vino, y ademas lo mas seguro es que no sea del mismo servidor donde esta alojado el scam, luego tendrías que hacer click para ver a donde seras redireccionado a "www.cualquierweb.com/TUBANCO.COM/DETALLES/CUENTAS/" por ejemplo, si quisieras podrias denunciar el scam o quizas hubiese la posibilidad de obtener acceso al servidor para tratar de localizar los correos a donde llegara los logs bueno eso depende del que audita ..


Saludos

Gracias por la respuesta, si tengo acceso actualmente al cpanel o phishing, lo que quisiera saber es detectar por ejemplo el código o la sintáxis en el cual estos Phishers envían sus logs o a que dirección de correo. Esta es la URL que acabo de detectar que es un Phishing, en mi red yo acostumbro bloquear la dirección IP publica de este sitio web, pero quisiera saber lo que comente con anterioridad.

Url Phishing:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Muchas gracias
Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hacer el analisis como tal, dudo que podamos hacer aquí todo ya que gran parte como mi persona trabajamos y en tiempos muertos libres foreamos como mi persona pero si podremos colaborarte eso estoy seguro!

Regards,
Snifer

Ok, ya tengo un caso de Phishing detectado, lo que tengo que hacer es guardar la página como. (Pagina principal) ? O se requiere entrar sitio por sitio que yo quiero analizar? .. O solo requiero el formulario donde piden los datos bancarios?

Muchas gracias
Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Se puede realizar hacer el analisis rolth especialmente a los js que gran parte hace uso de ellos segun el vector de ataque realizado.

Regards,
Snifer

Ok Snifer, muchas gracias por tu pronta respuesta.. Ahora que detecte algún Phishing, adjuntaré el código para que me apoyen con el análisis de los js de los Phisher. Consulta, este foro es de algún País específico?

Gracias y saludos

Buenas tardes

Quisiera saber si es posible realizar el análisis de una página web fraudulenta ( Phishing ), por ejemplo el código en la cual hace el envío de los datos hacia el atacante o Phisher, como por ejemplo la información de Número de tarjetas, contraseña de la tarjeta, etc. Me están solicitando este análisis en la empresa donde laboro, por favor indicarme si es posible de realizar este tipo de análisis. Ya que gestiono equipos que pueden realizar estos bloqueos de casos de Phishing, pero me han solicitado lo indicado con anterioridad.

Por favor indicarme si es posible realizar este tipo de análisis, para poder adjuntar ficheros o archivos de los sitios fraudulentos que he detectado.

Además quiero felicitarros por el excelente foro que tienen, está buenísimo lo de compartir conocimientos.

MIL GRACIAS 
Saludos