En la pasada Defcon 23 se liber una aplicacin denominada NetRipper.

Esta aplicacin
es una herramienta de post-explotacin que permite interceptar el trfico de red y,
por ejemplo, es capaz de capturar tanto el trfico en plano y el cifrado. En otras
palabras, podremos hookear los navegadores de la mquina y robar las credenciales
de Gmail, Facebook, Twitter u Outlook, ya que estamos en un nivel inferior, ant
es de que el HSTS haga su juego. Tambin podremos extraer cookies de sesin, por lo
que si la vctima tiene algn servicio al que se conecta con cookie persistente se p
odra sustraer.
Metasploit: Cmo hookear con NetRipper los navegadores para robar las contraseas
La herramienta tiene una versin para Windows con un binario o .EXE, una versin par
a PowerShell y otra versin en forma de mdulo de Metasploit. A m me llam la atencin ta
nto el script de PowerShell, ya que se podra utilizar con el Powershell Empire y
utilizarlo como script de post-explotacin y la versin de Metasploit, ya que junto
a una sesin de Meterpreter podramos hacer grandes cosas. Para este artculo decid ori
entarlo hacia el caso de Metasploit.
Instalacin de NetRipper en Metasploit
Tal y como se puede leer en el Github de la herramienta, su instalacin es bsica, s
implemente descargar los ficheros, por ejemplo, con un git clone. Despus, hay que
seguir los pasos que se detallan a continuacin:
Figura 2: Instalacin de NetRipper en Metasploit
Cmo se puede ver el proceso de instalacin o de adicin al framework es sencillo. Ant
es de continuar con el artculo vamos a pararnos a visualizar la siguiente imagen
sobre dnde NetRipper se inyecta y cmo funciona.
Figura 3: Esquema de hooking de NetRipper
Se puede consultar ms detalles sobre la charla de la Defcon y sobre el funcionami
ento de la herramienta en la direccin URL de las diapositivas de Ionut Popescu, a
utor de la investigacin y de la herramienta.
PoC: Hookeando navegadores y obteniendo contraseas de Gmail o Facebook
La prueba de concepto la comenzamos en el estado en el que el auditor o el ataca
nte ya tienen la sesin de Meterpreter conseguida. Sin perder la sesin ejecutamos e
l comando background y, posteriormente, cargamos el mdulo de netripper con la ins
truccin use post/windows/gather/netripper. Tal y como se puede ver en la imagen,
el mdulo ofrece diferentes opciones, a travs de sus atributos.
Figura 4: Opciones de NetRipper
Hay varios atributos que tenemos que configurar. El primero, y el requerido s o s,
es el identificador de sesin. Tenemos que indicar por cual sesin queremos ejecuta
r el mdulo de post-explotacin. En esta prueba de concepto utilizaremos la sesin nmer
o 1 conseguida previamente para ejecutar el cdigo.
Por otro lado, hay que
nombre del proceso al
izaremos iexplore.exe,
os separar por comas e

configurar el atributo PROCESSNAMES, indicando cual es el

que NetRipper debe hacer el hook. Para este ejemplo, util
para ello ejecutamos set PROCESSNAMES iexplore.exe. Podram
intentar hacer hooking a ms procesos que nos interesasen.

Una vez configurado se puede ejecutar el comando run y el mdulo ser ejecutado a tr
avs de la sesin de Meterpreter. El mdulo listar los procesos y se quedar con los proc
esos que encajen con los valores indicados en el atributo PROCESSNAMES, tal y co
mo se puede ver en la imagen.
Figura 5: Hooking en Internet Explorer
En este instante vemos que tenemos 2 procesos de Internet Explorer hookeados. En
la siguiente ruta de la mquina comprometida se comenzar a escribir ficheros de te
xto con las peticiones HTTP que el navegador enva, justo antes de que se cifren.