ReelPhish – Herramienta de phishing para autenticación de dos factores en tiempo real

0
2134
views

ReelPhish simplifica la técnica de phishing en tiempo real. El componente principal de la herramienta de phishing está diseñado para ejecutarse en el sistema del atacante. Consiste en una secuencia de comandos de Python que escucha los datos del sitio de suplantación de identidad del atacante e impulsa un navegador web instalado localmente utilizando el framework Selenium. La herramienta puede controlar el navegador web del atacante navegando a páginas web específicas, interactuando con objetos HTML y modificando el contenido.

El componente secundario de ReelPhish reside en el sitio de phishing en sí. El código incrustado en el sitio de phishing envía datos, como el nombre de usuario y la contraseña capturados, a la herramienta de phishing que se ejecuta en la máquina del atacante. Una vez que la herramienta de phishing recibe información, utiliza Selenium para iniciar un navegador y autenticarse en el sitio web legítimo. Toda la comunicación entre el servidor web de phishing y el sistema del atacante se realiza a través de un túnel SSH cifrado.

Las víctimas se rastrean mediante tokens de sesión, que se incluyen en todas las comunicaciones entre el sitio de phishing y ReelPhish. Este token permite que la herramienta de phishing mantenga estados para flujos de trabajo de autenticación que involucran varias páginas con desafíos únicos. Debido a que la herramienta de suplantación de identidad es consciente del estado, puede enviar información de la víctima al portal legítimo de autenticación web y viceversa.

Esta herramienta ha sido lanzada junto con una publicación de blog de FireEye. La publicación del blog se puede encontrar en el siguiente enlace: https://www.fireeye.com/blog/threat-research/2018/02/reelphish-real-time-two-factor-phishing-tool.html

Pasos de instalación

  1. La última versión de Python 2.7.x.
  2. Instalar Selenium,es una dependencia requerida para ejecutar los controladores del navegador.
    1. instalación de pip -r requirements.txt
  3. Descargue los controladores del navegador para todos los navegadores web que planea usar. Los binarios se deben colocar en este directorio raíz con el siguiente esquema de nombres.
          1. Internet Explorer: www.seleniumhq.org/download/
            Descargue el Servidor de controladores de Internet Explorer para Windows IE de 32 bits. Descomprime el archivo y cambia el nombre del binario a: IEDriver.exe.
          2. Para que funcione el controlador de Internet Explorer, asegúrese de que el modo protegido esté desactivado. En IE11 (Windows de 64 bits), debe crear la clave de registro “HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Internet Explorer \ Main \ FeatureControl \ FEATURE_BFCACHE”. En esta clave, cree un valor DWORD llamado iexplore.exe y establezca el valor en 0.
          3. Se puede encontrar más información sobre los requisitos de Internet Explorer en www.github.com/SeleniumHQ/selenium/wiki/InternetExplorerDriver
          4. Firefox: www.github.com/mozilla/geckodriver/releases/
          5. Descargue la última versión de Firefox GeckoDriver para Windows 32 bit. Descomprime el archivo y cambia el nombre del archivo binario a: FFDriver.exe.
          6. En los sistemas Linux, descargue la versión Linux de Firefox GeckoDriver y cambie el nombre del archivo binario a: FFDriver.bin. El soporte de Linux es experimental.
          7. Gecko Driver tiene requisitos especiales. Copie FFDriver.exe a geckodriver.exe y colóquelo en su variable PATH. Además, agregue firefox.exe a su variable PATH.
          8. Chrome: https://chromedriver.storage.googleapis.com/index.html?path=2.35/
          9. Descargue la última versión del controlador Google Chrome para Windows de 32 bits. Descomprime el archivo y cambia el nombre del binario a: ChromeDriver.exe.
          10. En sistemas Linux, descargue la versión Linux del controlador Chrome Web y cambie el nombre del binario a: ChromeDriver.bin. El soporte de Linux es experimental.

     

Ejecutando ReelPhish

ReelPhish consta de dos componentes: el código de manejo del sitio de phishing y este script. El sitio de phishing se puede diseñar como se desee. El código PHP de ejemplo se proporciona en / examplesitecode. El código de muestra tomará un nombre de usuario y contraseña de una solicitud HTTP POST y la transmitirá a la secuencia de comandos de phishing.
El script de phishing escucha en un puerto local y espera un paquete de credenciales. Una vez que se reciben las credenciales, la secuencia de comandos de phishing abrirá una nueva instancia de navegador web y navegará a la URL deseada (el sitio real donde ingresará las credenciales de un usuario). Las credenciales serán enviadas por el navegador web.
La forma recomendada de manejar la comunicación entre el sitio de phishing y este script es mediante el uso de un túnel SSH inverso. Esta es la razón por la cual el código de ejemplo del sitio de phishing de PHP envía credenciales a localhost:2135.

Argumentos de ReelPhish

  1. Debe especificar el navegador que usará con el parámetro –browser. Los navegadores compatibles incluyen Internet Explorer (“–browser IE”), Firefox (“–browser FF”) y Chrome (“–browser Chrome”). Windows y Linux son compatibles. Chrome requiere la menor cantidad de pasos de configuración. Vea las instrucciones de instalación anteriores para más detalles
  2. Debes especificar la URL. El script navegará a esta URL y enviará credenciales en su nombre.
  3. Otros parámetros opcionales están disponibles.
  • Establezca el parámetro de registro para depurar (- depuración de registro) para el registro detallado de eventos
  • Establezca el parámetro de envío (–submit) para personalizar el elemento que el navegador “hace clic”
  • Establezca el parámetro de anulación (–override) para ignorar los elementos de formulario faltantes
  • Establezca el parámetro numpages (–numpages) para aumentar el número de páginas de autenticación (ver la sección a continuación)

Soporte de autenticación de página múltiple

ReelPhish admite múltiples páginas de autenticación. Por ejemplo, en algunos casos, se puede solicitar un código de autenticación de dos factores en una segunda página. Para implementar esta función, asegúrese de que –numpages esté configurado para el número de páginas de autenticación. También asegúrese de que la identificación de la sesión se rastree adecuadamente en su sitio de phishing. El ID de la sesión se utiliza para rastrear a los usuarios a medida que avanzan en cada paso de la autenticación.
En algunos casos, es posible que necesite modificar contenido específico  fuera de una página de autenticación particular. Ejemplo de código comentado se proporciona en ReelPhish.py para realizar una operación.

Descarga ReelPhish

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop