Ayer estuve trasteando con el framework BeEF, instalado por defecto en Kali. Todavía no me había parado a examinarlo hasta ahora, y la verdad es que es sorprendente todo el potencial que tiene con lo sencillo que es de usar. Cualquiera que sea capaz de instalarlo puede posteriormente jugar a ser hacker (en este caso script kiddie o cracker) en cuestión de segundos sin tener un mínimo de conocimientos sobre seguridad.
BeEF son las siglas de Browser Explotation Framework y es una aplicación web que permite controlar cualquier dispositivo infectado a través de un navegador web. Raúl Siles hizo una presentación en RootedCon de 2011 así que esta herramienta ya lleva unos años circulando. El método de infección es muy sencillo, carga un script de JavaScript en una página web y realizar una conexión con el equipo atacante, el cuál ya tiene el control del equipo infectado. A continuación las opciones son muchísimas. Por defecto tiene funcionalidades para acceder a la webcam, detectar software instalado en el equipo e información de la red, ejecutar sonidos, grabar sonidos, realizar capturas de pantalla, robar cookies, también hay decenas de exploits para tomar el control total del equipo, permite hacer pivoting, ingeniería social, persistencia para continuar el ataque aunque la víctima haya abandonado la página web infectada, ingeniería social e incluso dispone de un módulo especializado en móviles que permite robar la lista de contactos, grabar conversaciones, robar ficheros, geolocalización, etc. Por si todo esto no fuera poco se puede integrar totalmente con Metasploit.
Las vías de infección son un simple phishing (suplantación de identidad) o la explotación de vulnerabilidades XSS.
Las vulnerabilidades XSS son agujeros de seguridad que permiten a un tercero inyectar código JavaScript en una página vulnerable. Ahora mismo el XSS es la cuarta vulnerabilidad de aplicaciones web más importante. Las hay de dos tipos: Directa o persistente o indirecta o reflejado.
- Directa consiste en insertar código malicioso en la página web vulnerable. Por ejemplo, en los comentarios de una noticia.
- Indirecta consiste en insertar el código malicioso en alguno de los valores que utiliza la aplicación web para su funcionamiento, en una cookie, en la cabecera HTTP, un parámetro, etc. Por ejemplo, en el parámetro de identificador de noticia de una página web. Normalmente es necesario que la víctima ejecute el enlace malicioso para realizar el ataque.
Imagina una página web de noticias es vulnerable a ataques XSS, y no es difícil imaginar, las hay y muchas. Inyectando el JavaScript que provee BeEF se conseguiría el control de los dispositivos de todos los lectores de esa página web de noticias sin que estos se percaten de nada.
La salvaguarda más radical para evitar este tipo de ataques es utilizar una extensión en nuestro navegador web como NoScript. Aunque muchas páginas web dependen de JavaScript para su correcto funcionamiento.
El experimento que hice ayer fue crear una sencilla página html con el código malicioso de BeEF y la subí a un servidor casero con redireccionamiento a través de No-ip. Evidentemente en la página web avisé de lo que estaba haciendo. Luego publiqué entre mis contactos de Facebook, a los cuáles considero mis amigos, un estado con un enlace a la página html infectada y un sugerente mensaje «La curiosidad mató al gato».
Fig1. Phishing en Facebook
En las primeras 4 horas 12 equipos se habían infectado sin saberlo, de los cuales 10 eran terminales Android y 2 equipos Windows. 12 horas después la cifra había aumentado hasta los 20 equipos con 2 Mac, 3 Windows y 3 terminales Android más. Después del experimento creo que mis contactos de Facebook están un poco más concienciados con la seguridad y han llegado a la conclusión de lo fácil que es tomar un equipo accediendo únicamente a un enlace web. Supongo que también me habré ganado el odio y la desconfianza de algún otro.
Fig2. Resultados tras 4 horas.