Uso de Bettercap para ataques de MitM

En agosto pasado anunciamos el lanzamiento del Framework BetterCapp ara realizar ataques MitM. Este framework modular está desarrollado en Ruby, ahora ha lanzado la nueva versión 1.2.2 y cada vez más aparece como el mejor reemplazante del eterno Ettercap.

Con Bettercap se puede atacar todos los equipos de la red o equipos específicos y permite realizar descubrimiento automático de dispositivos para realizar ARP spoofing. El Sniffer integrado es capaz de capturar de la red la siguiente información:

• URLs visitadas
• Hosts HTTPS Visitados
• POST HTTP
• Autenticación HTTP
• Credenciales FTP
• Credenciales IRC
• Credenciales POP, IMAP y SMTP
• Credenciales NTLMv1/v2 (HTTP, SMB, LDAP, etc)

Por ejemplo en Kali 2 se puede instalar agregando los siguientes repositorios a Kali e instalarlo con GEM o desde su repositorio de GitHub:

$nano /etc/apt/sources.list

deb http://http.kali.org/kali sana main non-free contrib
deb-src http://http.kali.org/kali sana main non-free contrib
deb http://security.kali.org/kali-security/ sana/updates main contrib non-free
deb-src http://security.kali.org/kali-security/ sana/updates main contrib non-free

$apt-get update

# Instalamos prerequisitos
$ apt-get install ruby-dev libpcap-dev

# Instalamos bettercap
$ gem install bettercap

Luego de instalado simplemente se puede comenzar a utilizar con

bettercap --help

Y luego agregar los módulos y filtros de captura, también desde GitHub:

git clone https://github.com/evilsocket/bettercap-proxy-modules.git

Estos módulos se pueden utilizar de la siguiente manera:

bettercap -T 192.168.0.2 --proxy --proxy-module=hack-title

Por ejemplo, en este caso se modificará el título de los sitios web a los que se acceda desde la IP objetivo 192.168.0.2.

Aquí se puede ver un video explicativo y un completo tutorial de alguna de sus opciones.

Cristian de la Redacción de Segu-Info