lunes, junio 18, 2012

NBNS Sniffer: Capturar búsquedas en Superbar de Chrome

Google Chrome, al igual que ya empiezan a realizar otros navegadores de Internet, permite la característica de buscar desde la barra de direcciones, es decir, la SuperBar. Basta con introducir una o varias palabras y Google Chrome lanzará una consulta a su buscador para mostrar los resultados. De hecho, en Google Chrome no hay un sitio específico para búsquedas como en otros.

Sin embargo, hay un momento concreto en el que la SuperBar tiene que tomar una decisión entre hacer una búsqueda a Google Search o hacer un GET a la cadena solicitada en la SuperBar. Si se introduce más de una palabra es evidente que se debe buscar en Google Search pero... ¿qué se debe hacer si se introduce una palabra que puede ser el nombre de un servidor web?

Si introducimos www.elladodelmal.com, Google hará primero un GET para después, en el caso de no estar disponible ese servidor web, realizar una búsqueda en Google Search. Este comportamiento es similar si se realiza, por ejemplo, la introducción de un único termino, como por ejemplo una palabra.

En ese caso no realiza primero un GET, sino una búsqueda de resolución de ese término por la red usando NetBIOS para después intentar hacer un GET, y si fallase, realizar la búsqueda de ese término en Google Search.

Figura 1: Tráfico NBNS generado por una búsqueda en la SuperBar de Google Chrome

Este comportamiento es conocido desde hace ya algún tiempo, y permite que alguien que esté sniffando la red pueda enterarse de todo lo que está buscando la gente por la SuperBar. Esto es así, incluso si si está configurado Google Search para realizar búsquedas con HTTP-s, ya que la búsqueda de resolución del término se hace por otro protocolo. En Internet Explorer 9, aunque se pueden hacer búsquedas en la barra de direcciones, el comportamiento no es igual a éste.

Como estamos desarrollando la Evil FOCA en Informática 64, uno de los módulos que le vamos a meter es la posibilidad de escuchar este tráfico, pero ya tenemos una versión POC de esto que puedes descargar y probar en tu red. 

Figura 2: NBNS Sniffer

Te aseguro que te sorprenderá qué es lo que busca la gente en las redes del trabajo, aunque lo mejor es que la búsqueda de esa palabra significa una conexión a un servidor, por lo que si se utiliza un módulo como Name Service Spoofer de Metasploit, puedes lograr un ataque de Phishing que haga un redirect a la página esperada por la víctima, pero con los resultados trampeados. Es decir, ponerle una página de resultados de Google para ese término pero totalmente controlada.

Por supuesto, algunas veces encontrarás peticiones NBNS que nada tengan que ver con búsquedas en Google Chrome, y sí con el funcionamiento normal del protocolo. Puedes descargar desde aquí NBSN Sniffer, y recuerda que necesitarás Winpcap para que funcione. Uno más de los ataques en redes de datos IPv4 e iPv6 para meter en la mochila.

Saludos Malignos!

4 comentarios:

  1. Lo que no se os ocurra a vosotros, ¿para cuando la Evil Foca Chema?
    Ya estamos impacientes....
    Un saludo!!

    ResponderEliminar
  2. Qué bueno, nunca se me hubiera ocurrido explotar eso.

    ResponderEliminar
  3. Vaya... esto tiene que ver con la implementación de Windows del protocolo NBNS.... http://www.packetstan.com/2011/03/nbns-spoofing-on-your-way-to-world.html pequeño detalle ;D

    ResponderEliminar
  4. Google Chrome utiliza el mismo atajo de Mozilla para acceder al cuadro de texto de búsqueda CTRL+K. Google indica que estamos en el modo búsqueda porque pone un símbolo de interrogación delante (lo puedes meter también a mano si quieres). De esa manera si buscas una sola palabra no se irá donde no quieres que se vaya.

    ResponderEliminar