Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ing.
Vctor
David
Casares
[CCNA-C|EH]
vcasares@cybsec.com
CYBSEC
S.A.
www.cybsec.com
2. Descripcin
de
los
ataques:
El
primer
ataque
que
vamos
a
describir
se
denomina
WPAD
(Web
Proxy
Authentication
Discovery).
El
mismo
aprovecha
un
conjunto
de
configuraciones
dbiles
y
un
error
del
usuario
para
obtener
credenciales.
Todos
alguna
vez
hemos
tipeado
mal
una
direccin
Web,
o
el
acceso
a
un
recurso
en
la
red
interna.
Al
escribir
mal
una
direccin
Web,
la
consulta
al
DNS
fallar
por
lo
que,
si
el
navegador
Web
est
configurado
para
Detectar
la
configuracin
automticamente
(tal
como
se
muestra
en
la
figura
a
continuacin),
la
consulta
fallida
tratar
de
resolverse
a
travs
de
WINS
(Windows
Internet
Name
Service)
y
si
falla,
finalmente
se
emite
un
broadcast
en
la
red
para
tratar
de
encontrar
un
host
llamado
WPAD
al
cual
le
solicitar
el
archivo
WPAD.dat
con
los
datos
de
configuracin
automtica
del
proxy.
Esto
se
realiza
utilizando
el
protocolo
LLMNR
(Link-Local
Multicast
Name
Resolution)
a
travs
de
UDP
puerto
5355
en
sistemas
Windows
Vista
en
adelante
o
el
Ing.
Vctor
David
Casares
[CCNA-C|EH]
vcasares@cybsec.com
CYBSEC
S.A.
www.cybsec.com
El
ataque
lo
realizamos
utilizando
una
herramienta
denominada
Responder
que
fue
creada
por
Trustwave
SpiderLabs
https://www.trustwave.com
Ing.
Vctor
David
Casares
[CCNA-C|EH]
vcasares@cybsec.com
SMB
Relay
es
otro
tipo
de
ataque
que
podemos
utilizar
para
tratar
de
ganar
acceso
a
los
equipos.
En
muchas
redes
existen
sistemas
automatizados
que
se
conectan
a
todos
los
equipos
para
realizar
ciertas
tareas
como
por
ejemplo:
realizar
un
inventario
del
software
instalado,
actualizar
antivirus,
realizar
backups,
etc.
Dichos
sistemas
para
conectarse
con
los
equipos
necesitan
proveer
a
los
mismos
las
credenciales
vlidas
para
llevar
a
cabo
la
autenticacin.
Es
por
ello
que
un
atacante
podra
quedar
a
la
escucha
esperando
que
algunos
de
estos
sistemas
automatizados
establezcan
una
conexin
con
l
(con
su
direccin
IP
interna).
La
autenticacin
se
realiza
utilizando
NTLM
(NT
LAN
Manager).
NTLM
es
un
protocolo
de
Ing.
Vctor
David
Casares
[CCNA-C|EH]
vcasares@cybsec.com
CYBSEC
S.A.
www.cybsec.com
1a
2a
3 a
4a
Ing.
Vctor
David
Casares
[CCNA-C|EH]
vcasares@cybsec.com
2.-
El
equipo
vctima
enva
al
atacante
un
(desafo
x)
para
que
sea
encriptado
con
el
hash
de
la
clave
del
sistema
automatizado.
2a.-
El
atacante
reenva
el
desafo
al
sistema
automatizado.
3.-
El
sistema
automatizado
devuelve
el
desafo
encriptado
al
atacante.
3a.-
El
atacante
pasa
el
desafo
al
equipo
vctima.
4.-
El
equipo
vctima
proporciona
acceso
al
atacante.
4a.-
El
atacante
retorna
un
mensaje
de
acceso
denegado
al
sistema
automatizado.
Para
llevar
a
cabo
el
ataque
de
manera
prctica,
en
esta
ocasin
utilizaremos
una
herramienta
denominada
Smbrelayx
que
fue
desarrollada
por
Core
Security
http://www.coresecurity.com
Ing.
Vctor
David
Casares
[CCNA-C|EH]
vcasares@cybsec.com
Ing.
Vctor
David
Casares
[CCNA-C|EH]
vcasares@cybsec.com