Evil Foca es una herramienta para pentesters y auditores de seguridad que tiene como finalidad poner a prueba la seguridad en redes de datos IPv4 / IPv6.
La herramienta es capaz de realizar distintos ataques como:
MITM sobre redes IPv4 con ARP Spoofing y DHCP ACK Injection.
MITM sobre redes IPv6 con Neighbor Advertisement Spoofing, Ataque SLAAC, fake DHCPv6.
DoS (Denegación de Servicio) sobre redes IPv4 con ARP Spoofing.
DoS (Denegación de Servicio) sobre redes IPv6 con SLAAC DoS.
DNS Hijacking.
Automáticamente se encarga de escanear la red e identificar todos los dispositivos y sus respectivas interfaces de red, especificando sus direcciones IPv4 e IPv6 y las direcciones físicas a través de una interfaz cómoda e intuitiva.
FUNCIONALIDAD
Ataque de hombre en el medio (MITM)
El conocido “Man In The Middle” es un ataque, en el que un malhechor crea la posibilidad de leer, inyectar o modificar información que hay en un canal entre 2 equipos sin que ninguno de ellos se entere. Dentro de los ataques de MITM en IPv4 e IPv6 Evil Foca contempla las siguientes técnicas:
ARP Spoofing
Consiste en enviar mensajes ARP a la red Ethernet, normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro equipo. Cualquier tráfico dirigido a la dirección IP de la puerta de enlace predeterminada será erróneamente enviado al atacante, en lugar de a su destino real.
DHCP ACK Injection
Consiste en que un atacante monitoriza los intercambios DHCP y en un determinado punto de la comunicación envía un paquete para modificar su comportamiento. Evil Foca se encargará de convertir el equipo en un servidor DHCP falso en la red.
Neighbor Adverticement Spoofing
El principio de este ataque es el mismo que el de ARP Spoofing, la diferencia radica en que IPv6 no trabaja con el protocolo ARP, sino que toda la información se transmite a través de paquetes ICMPv6. Existen 5 tipos de paquetes ICMPv6 utilizados en el protocolo de descubrimiento y Evil Foca se encarga de generar ese tipo de paquetes, colocándose entre el gateway y la víctima.
Ataque SLAAC
El objetivo de este ataque es poder hacer un MITM cuando un usuario se conecta a Internet a un servidor que no tiene soporte para IPv6 y que por lo tanto es necesario conectarse usando IPv4. Este ataque es posible debido a que Evil Foca se encarga de la resolución de nombres de dominio una vez situada en el medio de la comunicación, y es capaz de transformar las direcciones IPv4 en direcciones IPv6.
Falso DHCPv6 server
Este ataque consiste en que el atacante se hace pasar por el servidor DCHPv6, respondiendo a todas las solicitudes de la red, repartiendo direcciones IPv6 y un DNS falso para manipular el destino de los usuarios o denegar el servicio.
Ataque de denegación de servicio (DoS)
El ataque DoS es un ataque a un sistema de equipos o red que causa que un servicio o recurso sea inaccesible para sus usuarios. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Ataque DoS en IPv4 con ARP Spoofing
Este tipo de ataque DoS consiste en asociar una dirección MAC inexistente en la tabla ARP de una víctima, con esto se consigue queel equipo en el cual se ha modificado la tabla ARP sea incapaz de conectarse a la dirección IP asociada a la MAC inexistente.
Ataque DoS en IPv6 con ataque SLAAC
En este tipo de ataque se genera una gran cantidad de paquetes “router advertisement” destinados a uno o varios equipos, anunciando falsos routers y asignando una dirección IPv6 y puerta de enlace diferente para cada router, colapsando el sistema y haciendo que los equipos no respondan.
DNS Hijacking
El ataque de DNS Hijacking o secuestro de DNS consiste en alterar la resolución del sistema de nombres de dominio (DNS). Esto se puede lograr por malware que invalide la configuración de un equipo TCP / IP para que apunte a un servidor pirata DNS bajo el control de un atacante, o por medio de un ataque MITM, siendo el atacante el que reciba las peticiones DNS, y encargándose él de dar respuesta a una consulta DNS específica para dirigir a la víctima a un destino específico seleccionado por el atacante.
https://www.elevenpaths.com/es/labstools/evil-focasp/index.html
El conocido “Man In The Middle” es un ataque, en el que un malhechor crea la posibilidad de leer, inyectar o modificar información que hay en un canal entre 2 equipos sin que ninguno de ellos se entere. Dentro de los ataques de MITM en IPv4 e IPv6 Evil Foca contempla las siguientes técnicas:
ARP Spoofing
Consiste en enviar mensajes ARP a la red Ethernet, normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro equipo. Cualquier tráfico dirigido a la dirección IP de la puerta de enlace predeterminada será erróneamente enviado al atacante, en lugar de a su destino real.
DHCP ACK Injection
Consiste en que un atacante monitoriza los intercambios DHCP y en un determinado punto de la comunicación envía un paquete para modificar su comportamiento. Evil Foca se encargará de convertir el equipo en un servidor DHCP falso en la red.
Neighbor Adverticement Spoofing
El principio de este ataque es el mismo que el de ARP Spoofing, la diferencia radica en que IPv6 no trabaja con el protocolo ARP, sino que toda la información se transmite a través de paquetes ICMPv6. Existen 5 tipos de paquetes ICMPv6 utilizados en el protocolo de descubrimiento y Evil Foca se encarga de generar ese tipo de paquetes, colocándose entre el gateway y la víctima.
Ataque SLAAC
El objetivo de este ataque es poder hacer un MITM cuando un usuario se conecta a Internet a un servidor que no tiene soporte para IPv6 y que por lo tanto es necesario conectarse usando IPv4. Este ataque es posible debido a que Evil Foca se encarga de la resolución de nombres de dominio una vez situada en el medio de la comunicación, y es capaz de transformar las direcciones IPv4 en direcciones IPv6.
Falso DHCPv6 server
Este ataque consiste en que el atacante se hace pasar por el servidor DCHPv6, respondiendo a todas las solicitudes de la red, repartiendo direcciones IPv6 y un DNS falso para manipular el destino de los usuarios o denegar el servicio.
Ataque de denegación de servicio (DoS)
El ataque DoS es un ataque a un sistema de equipos o red que causa que un servicio o recurso sea inaccesible para sus usuarios. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Ataque DoS en IPv4 con ARP Spoofing
Este tipo de ataque DoS consiste en asociar una dirección MAC inexistente en la tabla ARP de una víctima, con esto se consigue queel equipo en el cual se ha modificado la tabla ARP sea incapaz de conectarse a la dirección IP asociada a la MAC inexistente.
Ataque DoS en IPv6 con ataque SLAAC
En este tipo de ataque se genera una gran cantidad de paquetes “router advertisement” destinados a uno o varios equipos, anunciando falsos routers y asignando una dirección IPv6 y puerta de enlace diferente para cada router, colapsando el sistema y haciendo que los equipos no respondan.
DNS Hijacking
El ataque de DNS Hijacking o secuestro de DNS consiste en alterar la resolución del sistema de nombres de dominio (DNS). Esto se puede lograr por malware que invalide la configuración de un equipo TCP / IP para que apunte a un servidor pirata DNS bajo el control de un atacante, o por medio de un ataque MITM, siendo el atacante el que reciba las peticiones DNS, y encargándose él de dar respuesta a una consulta DNS específica para dirigir a la víctima a un destino específico seleccionado por el atacante.
TUTORIAL
ENLACE A EVILFOCA
https://www.elevenpaths.com/es/labstools/evil-focasp/index.html