Marmita – Detectando ataques man in the middle

Os ataques man in the middle dão muita brecha para se realizar muitos ataques. Desde simplesmente fazer um man in the middle para ver que transações realiza un cliente. Outras técnicas se baseiam na  idea de un man in the middle, por exemplo quando certos trojans realizam ataques MITB, quando infectam a máquina são capazes de modificar as páginas webs que recebe no navegador da víctima.

Neste esquema podemos ver como actúa um ataque man in the middle:

No primeiro esquema, temos uma rede LAN, a qual temos dois usuarios. O usuario Devil User tentará fazer um ataque de man in the middle a outro user. Se o ataque se relizar o esquema ficará assim:

Para detectar estes tipos de ataque na LAN podemos usar varios métodos, um deles é o software Marmita.

Marmita se encarga de monitorar o HOST por si é atacado por um ataque man in the middle.

Para baixar o Marmita pode clicar aquí

Como requisito, é necessário ter instalado Winpcap

A ferramenta possui este apecto:

A ferramenta oferece varias opções, como iniciar junto ao sistema operacional.

Marmita tem este aspecto:

A ferramenta é bastante intuitiva e podemos rápidamente ter acesso a información que nos interesa directamente.

Por exemplo a informação da tabela ARP

Quando Marmita detecte o ataque man in the middle dará um aviso bastante claro, através de un globo de notificação

Marmita tentará identificar quem está fazendo o ataque Man in the middle, este ataque seráregistrado nos logs, para poder consultar mas tarde.

Marmita tem uma janela de histórico de ataques, onde podremos consultor todo o historico. Neste historico tem detalhado a hora, o MAC, o tipo de ataque, o nome do atacante…

Existe uma opção de que Marmita possa mitigar os ataques man in the middle. Neste caso observamos como Marmita detecta o ataque ARP Poisoning.

Sem dúvidas uma ferramnta muito útil para o sistema Windows, te animo a experimentá-la

Saudações.

Anúncios

Cain & Abel – Guia completo

DOWNLOAD DA FERRAMENTA

1. inicio

O pacote virá com 3 programas: O Cain(O programa em si!), Abel, um “backdoor” para administração remota do Cain e a lib WinPcap, que permite a análise se redes. Se você não instalá-lo opções como sniffing não irão funcionar e o wintrgen, que é o gerador de rainbow table que esplicarei depois.

2. Start/Stop Sniffer e Start/Stop APR

Com este botão você poderá iniciar ou parar o sniffer. Para quem não sabe o sniffer deixa o seu adaptador de rede em modo promíscuo, ou seja, escutando todos os dados que trafegam pela rede mesmo não sendo direcionada para aquela máquina. Quando você clicar pela primeira vez aparecerá uma caixa de diálogo chamada Configurantion Dialog onde você deverá selecionar o adaptador a ser usado(caso sua máquina tenha mais que um) mas o programa configura automáticamente.

3. Guia Sniffer

Depois de iniciado o sniffer você poderá ver seus resultados na guia sniffer. Na parte inferior será subdividida em mais guias: Host, APR, Routing, Password, Voip

3.1 Host

Computadores que estão em sua subnet. Para ver os pc’s basta apenas clicar no botão + (Add to list). Ao clicar mostrará uma guia de scaneamento de mac address, você pode pôr uma faixa ou colocar para mostrar todos. Irão mostrar o endereço de ip, endereço MAC e fingerprint do pc.

3.2 APR

Muitas vezes sua rede é segmentada por switchs, fazendo assim você não poder sniffar outros segmentos. Para isso existe o que chamamos de ARP poisoning. o ARP poisoning consite em você envenenar a tabela ARP do seu switch fazendo ele receber os pacotes do pc que você deseja. Não entrarei em detalhes porque este não é meu objetivo. No guia APR você terá que escolher o tipo de APR: DNS, SSH-1, HTTPS ou RDP. Selecionado você terá que adicionar o host clicando no botão +. Lembre-se que o botão Start/Stop APR deve estar selecionado. Ao clicar no botão + aparecerá uma caixa com os hosts da sua subnet que obtivemos no guia host(Lembra?). Agora é preciso apenas adicionar os host para o APR. Depois de fazer isso você verá o ícone e do lado escrito poisoning.
O APR do Cain Também realiza o Homem no meio(man in the middle) em redes locais seguindo os mesmos procedimentos.

3.3 Routing

Esta seção pediria um explicação extensa, e como este é um manual básico, irei pular aqui. Desculpem-me!

3.4 Password

Esta seção, com o sniffer ligado, mostrará todas senhas que passam por você. Não precisa de nenhuma configuração, eles apareceram ali. Ele pega senhas de vários, você já deve ter visto a listinha dele. Mas as vezes as senhas podem vir criptografadas, explicarei isso mais abaixo.

3.5 Voip

Igual ao Password. Todas conexões de voip que aparecerem o cain gravará para você. Semelhante ao grampo de telefone, mas grampeia conversas no Voip.

4. Botões Add to list(+) e Remove from list(lixeira)

Servem para adiconar ou remover alguns itens que são usados em alguns guias.

5. Botão configure

É o mesmo que você selecionar o menu configure. Mostrará um guia para configuração. Não irei explicar aqui, mas só de você olhar você entenderá. Não precisará mexer, Pois o cain já configura tudo altomatimente.

6. Botão Base 64 password decoder

Serve para quebrar senhas criptografadas em Base 64. Basta colocar a senha.

7. Botão Access database password decoder

Quebra senhas de banco de dados Access. Basta selecionar o arquivo e o tipo.

8. Botões da CISCO

O primeiro serve para quebrar senhas do type-7 colocando a senha e outro do VPN Cient, colocando o arquivo. Esses botões não tem muito o que comentar…

9. Outros Botões de Password Decoder

Basta apenas colocar o password ou o arquivo e pronto. COmo disse não tem muito o que comentar. A partir daqui irei comentar somente o necessário, ok?

10. Box Revelator

Revelar senhas entre ******* das caixas de senhas?

11. Hash Calculator

Você digita o que quer e ele mostrará ele em hash. È necessario quando você precisa saber um hash específico ou fazer um teste.

12. RSA
Também não explicarei este. meu tempo muito curto!.

13. Guias
Já expliquei os principais botões. Agora os guias, que é o que falta.

13.1 Protected Storeg

Ele pega no registro senhas dos seguintes programas(se estiverem armazenadas no registro):
– MS Outlook 2002′s passwords(POP3, SMTP, IMAP, HTTP)
– Outlook Express’s passwords(POP3, NNTP, SMTP, IMAP, HTTP, LDAP, HTTP-Mail)
– Outlook Express Identities
– MS Outlook’s passwords (POP3, NNTP, SMTP, IMAP, LDAP, HTTP-Mail)
– MSN Explorer’s Sign In passwords
– MSN Explorer’s Auto Complete passwords
– Internet Explorer’s protected sites passwords
– Internet Explorer’s Auto complete passwords

Basta clicar no botão +.

13.2 Network
Mostra detalhes da rede.

13.3 LSA Secrets
também pega do registro senhas usadas para iniciar serciços como senhas do arquivo SAM. Clique no Botão +.

13.4 Cracker

Quando você obtem senhas criptografadas você pode clicar com o botão direito e colocar “send to crack”. Lá ele divide os passwords e faz a quebra através de alguns tipo de força bruta, ataque de dicionário, criptoanálise(Você verificar em uma rainbow table feita no wintrgen) ou rainbowcrack-online.

13.5 Traceroute
É o tracert do windows ou traceroute do linux com mais opções.

13.6 CCDU (Cisco COnfig Downloader)
Configurações CISCO. Para usuários mais avaçados.

13.7 Wireless
Através de um dispositivo wireless varre por redes sem fio.

 

Se quiser ver uma super materia sobre a ferramenta com tutorial e explicando bem mais detalhadamente a ferramenta, clique em LEIA MAIS

Continuar lendo