6 herramientas de ataque HTTP MITM para investigadores de seguridad

por

Un ataque man-in-the-middle (MITM) ocurre cuando un mal actor interrumpe una conversación de red establecida o una transferencia de datos. El atacante se sienta en medio de la ruta de transferencia y luego finge o actúa como un participante legítimo en la conversación.

En la práctica, los atacantes se posicionan entre las solicitudes entrantes y las respuestas salientes. Como usuario, seguirá creyendo que está hablando directamente con el servidor de destino legítimo o la aplicación web, como Facebook, Twitter, el banco en línea y otros. Sin embargo, en realidad, enviará solicitudes al intermediario, quien luego hablará con su banco o aplicación en su nombre.

Imagen de Imperva

Como tal, el hombre en el medio verá todo, incluidas todas sus solicitudes y respuestas que obtenga del servidor de destino o de destino. Además de ver toda la conversación, el hombre en el medio puede modificar sus solicitudes y respuestas, robar sus credenciales, dirigirlo a un servidor que controlan o realizar otros delitos cibernéticos.

Generalmente, el atacante puede interceptar el flujo de comunicaciones o los datos de cualquiera de las partes en la conversación. El atacante puede entonces modificar la información o enviar enlaces o respuestas maliciosas a ambos participantes legítimos. En la mayoría de los casos, esto puede pasar desapercibido durante algún tiempo, hasta más tarde después de mucho daño.

Técnicas comunes de ataque man-in-the-middle

Rastreo de paquetes: el atacante utiliza varias herramientas para inspeccionar los paquetes de red a un nivel bajo. El rastreo permite a los atacantes ver los paquetes de datos a los que no están autorizados a acceder.

Inyección de paquetes: – donde los atacantes inyectan paquetes maliciosos en los canales de comunicación de datos. Antes de la inyección, los delincuentes utilizarán primero el rastreo para identificar cómo y cuándo enviar los paquetes maliciosos. Después de la inyección, los paquetes defectuosos se mezclan con los válidos en el flujo de comunicación.

Secuestro de sesión: en la mayoría de las aplicaciones web, el proceso de inicio de sesión crea un token de sesión temporal para que el usuario no tenga que seguir escribiendo la contraseña para cada página o cualquier solicitud futura. Desafortunadamente, un atacante que usa varias herramientas de rastreo puede identificar y usar el token de sesión, que ahora puede usar para hacer solicitudes que pretenden ser el usuario legítimo.

Eliminación de SSL: los atacantes pueden usar la técnica de activación de SSL para interceptar los paquetes legítimos, modificar las solicitudes basadas en HTTPS y dirigirlas al destino equivalente HTTP no seguro. En consecuencia, el host comenzará a realizar una solicitud sin cifrar al servidor, por lo tanto, expondrá los datos confidenciales como texto sin formato que es fácil de robar.

Consecuencias de los ataques MITM

Los ataques MITM son peligrosos para cualquier organización y pueden provocar pérdidas financieras y de reputación.

Por lo general, los delincuentes pueden obtener y hacer mal uso de la información confidencial y privada de la organización. Por ejemplo, pueden robar credenciales como nombres de usuario y contraseñas, detalles de tarjetas de crédito y utilizarlos para transferir fondos o realizar compras no autorizadas. También pueden usar credenciales robadas para instalar malware o robar otra información confidencial, que pueden usar para chantajear a la empresa.

Por esta razón, es fundamental proteger a los usuarios y los sistemas digitales para minimizar los riesgos de ataques MITM.

Herramientas de ataque MITM para equipos de seguridad

Además de usar soluciones y prácticas de seguridad confiables, debe usar las herramientas necesarias para verificar sus sistemas e identificar vulnerabilidades que los atacantes pueden explotar. Para ayudarlo a tomar la decisión correcta, estas son algunas de las herramientas de ataque HTTP MITM para investigadores de seguridad.

Hetty

Hetty es un rápido kit de herramientas HTTP de código abierto con funciones potentes para apoyar a los investigadores de seguridad, los equipos y la comunidad de recompensas por errores. La herramienta liviana con una interfaz web integrada de Next.js comprende un hombre HTTP en el proxy intermedio.

Características clave

  • Le permite realizar una búsqueda de texto completo
  • Tiene un módulo de remitente que le permite enviar solicitudes HTTP manualmente en función de las solicitudes desactivadas del registro del proxy o creándolas desde cero.
  • Un módulo atacante que le permite enviar solicitudes HTTP automáticamente
  • Instalación simple e interfaz fácil de usar
  • Envíe manualmente las solicitudes HTTP comenzando desde cero, elaborando la solicitud o simplemente copiando desde el registro de Proxy.

Mejor gorra

Mejor gorra es una herramienta de ataque y reconocimiento de red completa y escalable.

La solución fácil de usar brinda a los ingenieros inversos, expertos en seguridad y equipos rojos todas las características para probar o atacar redes Wi-Fi, IP4, IP6, dispositivos Bluetooth Low Energy (BLE) y dispositivos HID inalámbricos. Además, la herramienta tiene capacidades de monitoreo de red y otras funciones, como la creación de puntos de acceso falsos, rastreador de contraseñas, suplantador de DNS, captura de protocolo de enlace, etc.

Características clave

  • Un poderoso rastreador de red incorporado para identificar datos de autenticación y recolectar credenciales
  • potente, extensible
  • Sondee y pruebe de forma activa y pasiva los hosts de red IP en busca de posibles vulnerabilidades MITM.
  • Interfaz de usuario fácil de usar e interactiva basada en la web que le permite realizar una amplia gama de ataques MITM, olfatear credenciales, controlar el tráfico HTTP y HTTP, etc.
  • Extraiga todos los datos que recopila, como credenciales POP, IMAP, SMTP y FTP, URL visitadas y hosts HTTPS, cookies HTTP, datos publicados HTTP y más. Luego lo presenta en un archivo externo.
  • Manipule o modifique el tráfico TCP, HTTP y HTTPS en tiempo real.

Proxy.py

Proxy.py es un servidor proxy HTTP, HTTPS, HTTP2 y WebSockets ligero y de código abierto. Disponible en un solo archivo Python, la herramienta rápida permite a los investigadores inspeccionar el tráfico web, incluidas las aplicaciones cifradas con TLS, con un consumo mínimo de recursos.

Características clave

  • Es una herramienta rápida y escalable que puede manejar decenas de miles de conexiones por segundo.
  • Funciones programables como un servidor web incorporado, proxy y personalización de enrutamiento HTTP, etc.
  • Tiene un diseño liviano que usa 5-20 MB de RAM. Además, se basa en las bibliotecas estándar de Python y no requiere dependencias externas.
  • Un panel de control personalizable en tiempo real que puede ampliar mediante complementos. También le brinda la opción de inspeccionar, monitorear, configurar y controlar el proxy.py en tiempo de ejecución.
  • La herramienta segura utiliza TLS para proporcionar cifrado de extremo a extremo entre el proxy.py y el cliente.

Mitmproxy

los mitmproxy es una solución de proxy HTTPS de código abierto y fácil de usar.

En general, la herramienta fácil de instalar funciona como un proxy HTTP man-in-the-middle de SSL y tiene una interfaz de consola que le permite inspeccionar y modificar el flujo de tráfico sobre la marcha. Puede usar la herramienta basada en la línea de comandos como un proxy HTTP o HTTPS para registrar todo el tráfico de la red, ver qué solicitan los usuarios y reproducirlos. Por lo general, mitmproxy se refiere a un conjunto de tres poderosas herramientas; mitmproxy (interfaz de consola), mitmweb (interfaz basada en web) y mitmdump (versión de línea de comandos).

Características clave

  • Herramienta interactiva y confiable de análisis y modificación de tráfico HTTP
  • Una herramienta flexible, estable, fiable, fácil de instalar y utilizar
  • Le permite interceptar y modificar las solicitudes y respuestas HTTP y HTTPS sobre la marcha
  • Grabe y guarde las conversaciones HTTP del lado del cliente y del lado del servidor, luego reprodúzcalas y analícelas en el futuro
  • Genere los certificados SSL/TLS para interceptar sobre la marcha
  • Las funciones de proxy inverso le permiten reenviar el tráfico de red a un servidor diferente.

Eructar

Eructar es una herramienta de escaneo de vulnerabilidades automatizada y escalable. La herramienta es una buena opción para muchos profesionales de la seguridad. En general, permite a los investigadores probar aplicaciones web e identificar vulnerabilidades que los delincuentes pueden explotar y lanzar ataques MITM.

Utiliza un flujo de trabajo dirigido por el usuario para proporcionar una vista directa de la aplicación de destino y cómo funciona. Operando como un servidor proxy web, Burp se sienta como el intermediario entre el navegador web y los servidores de destino. En consecuencia, esto le permite interceptar, analizar y modificar el tráfico de solicitudes y respuestas.

Características clave

  • Interceptar e inspeccionar el tráfico de red sin procesar en ambas direcciones entre el navegador web y el servidor
  • Rompe la conexión TLS en el tráfico HTTPS entre el navegador y el servidor de destino, lo que permite al atacante ver y modificar los datos cifrados.
  • Opción de utilizar el navegador integrado de Burps o el navegador web estándar externo
  • Solución de escaneo de vulnerabilidades automatizada, rápida y escalable. Le permite escanear y probar aplicaciones web de manera más rápida y eficiente, identificando así una amplia gama de vulnerabilidades.
  • Mostrar solicitudes y respuestas HTTP individuales interceptadas
  • Revise manualmente el tráfico interceptado para comprender los detalles de un ataque.

Ettercap

Ettercap es un analizador e interceptor de tráfico de red de código abierto.

La herramienta integral de ataques MITM permite a los investigadores diseccionar y analizar una amplia gama de hosts y protocolos de red. También puede registrar los paquetes de red en una LAN y otros entornos. Además, el analizador de tráfico de red multipropósito puede detectar y detener ataques de intermediarios.

Características clave

  • Intercepte el tráfico de red y capture credenciales como contraseñas. Además, puede descifrar datos cifrados y extraer credenciales como nombres de usuario y contraseñas.
  • Adecuado para la detección profunda de paquetes, pruebas, monitoreo del tráfico de red y filtrado de contenido en tiempo real.
  • Admite espionaje activo y pasivo, disección y análisis de protocolos de redes, incluidos aquellos con cifrado
  • Analizar una topología de red y establecer los sistemas operativos instalados.
  • Interfaz gráfica de usuario fácil de usar con opciones de operación de GUI interactivas y no interactivas
  • utiliza técnicas de análisis como la interceptación ARP, filtrado IP y MAC, y otras para interceptar y analizar el tráfico

Prevención de ataques MITM

Identificar los ataques MITM no es muy fácil, ya que ocurre lejos de los usuarios y es difícil de detectar, ya que los atacantes hacen que todo parezca normal. Sin embargo, existen varias prácticas de seguridad que las organizaciones pueden utilizar para evitar ataques de intermediarios. Éstos incluyen;

  • Asegure las conexiones a Internet en el trabajo o en las redes domésticas, por ejemplo, mediante el uso de soluciones y herramientas de seguridad efectivas en sus servidores y computadoras, soluciones de autenticación confiables
  • Hacer cumplir un fuerte cifrado WEP/WAP para los puntos de acceso
  • Asegurarse de que todos los sitios web que visite sean seguros y tengan HTTPS en la URL.
  • Evite hacer clic en mensajes de correo electrónico y enlaces sospechosos
  • Aplique HTTPS y deshabilite los protocolos TLS/SSL inseguros.
  • Utilice redes privadas virtuales siempre que sea posible.
  • Usando las herramientas anteriores y otras soluciones HTTP para identificar y abordar todas las vulnerabilidades de intermediario que los atacantes pueden explotar.

No related posts.