Trape: Una herramienta para investigar a personas
Trape es una herramienta de reconocimiento que te permite rastrear a las personas y hacer ataques de phishing en tiempo real, la información que puedes obtener es muy detallada. Se quiere enseñar al mundo a través de esto, cómo las las grandes compañías de Internet pueden monitorearte, obteniendo información más allá de tu dirección IP, como la conexión de tus sesiones a sitios web o servicios en Internet.
En un evento de seguridad internacional en Colombia, llamado DragonJAR Security Conference 2017, lo presentamos para explicar su funcionamiento. Lo más relevante de este trabajo es el reconocimiento de sesiones de forma remota, que se puede ver con una simple investigación donde se hace un bypass a SOP (Same Origin Policy) en el navegador. Puedes ver el video de la conferencia aquí:
Figura 2: Jose Pino "Trape: Rastreando al delincuente"
Una de las funciones más importantes y atractiva es el reconocimiento remoto de las sesiones. Cualquiera puede saber dónde está logueada una persona, remotamente. Esto ocurre a través de un bypass hecho a las políticas Same Origin Policy (SOP), lo que permite que un sitio web pueda hacer un perfil de los visitantes de forma automatizada, dependiendo de en qué servicios se mantenga logueado mientras navega.
Estos son algunos servicios para los que Trape puede reconocer la sesión cuando se ejecuta: Facebook, Twitter, VK, Reddit, Gmail, Tumblrm, Instagram, Github, Bitbucket, Dropbox, Spotify, PayPal y Amazon. Para ejecutar la herramienta que está escrita en Python debes ejecutar el script trape.py que se encuentra en su repositorio de Github desde cualquier Kali Linux.
En la opción --url se configura el señuelo que puede ser una página de noticias, un artículo o algo que sirva como una página de presentación que se visite. En este caso es example.com. En la opción --port se configura el puerto del listener HTTP.
En el directorio de archivos de Trape, ubicado en la ruta /static/files se agregan los archivos con extensión .exe o archivos de descarga que se envían a la víctima mediante la sección attacks hook.
Puedes ver algunos ejemplos hechos con Trape en este vídeos que muestra en Español cómo se puede utilizar la herramienta.
Figura 7: Cómo usar Trape
Al final la herramienta ofrece una consola de administración web que en tiempo real permite registrar víctimas, ver cuáles son sus sesiones, realizar ataques de phishing ad-hoc, inyectar el envío de exploits y realizar investigaciones OSINT con que solo la víctima haya hecho clic en el hipervínculo donde se ha configurado el servicio.
Autores: Jose Pino & Jhonathan Espinosa CEO & CTO de Boxug
Figura 1: Trape: Una herramienta para investigar a personas |
En un evento de seguridad internacional en Colombia, llamado DragonJAR Security Conference 2017, lo presentamos para explicar su funcionamiento. Lo más relevante de este trabajo es el reconocimiento de sesiones de forma remota, que se puede ver con una simple investigación donde se hace un bypass a SOP (Same Origin Policy) en el navegador. Puedes ver el video de la conferencia aquí:
Figura 2: Jose Pino "Trape: Rastreando al delincuente"
Una de las funciones más importantes y atractiva es el reconocimiento remoto de las sesiones. Cualquiera puede saber dónde está logueada una persona, remotamente. Esto ocurre a través de un bypass hecho a las políticas Same Origin Policy (SOP), lo que permite que un sitio web pueda hacer un perfil de los visitantes de forma automatizada, dependiendo de en qué servicios se mantenga logueado mientras navega.
Figura 3: Repositorio GitHub de Trape |
Estos son algunos servicios para los que Trape puede reconocer la sesión cuando se ejecuta: Facebook, Twitter, VK, Reddit, Gmail, Tumblrm, Instagram, Github, Bitbucket, Dropbox, Spotify, PayPal y Amazon. Para ejecutar la herramienta que está escrita en Python debes ejecutar el script trape.py que se encuentra en su repositorio de Github desde cualquier Kali Linux.
git clone https://github.com/boxug/trape.git
cd trape
python trape.py -hInstalamos todos los requisitos para poder proseguir con su funcionamiento utilizando pip install -r requirements.txt y ya podemos utilizarlo. Un simple ejemplo de ejecución sería:
Figura 4: Ejecución de Trape en un listener HTTP |
En la opción --url se configura el señuelo que puede ser una página de noticias, un artículo o algo que sirva como una página de presentación que se visite. En este caso es example.com. En la opción --port se configura el puerto del listener HTTP.
Figura 5: Detección de sesiones con Trape |
En el directorio de archivos de Trape, ubicado en la ruta /static/files se agregan los archivos con extensión .exe o archivos de descarga que se envían a la víctima mediante la sección attacks hook.
Figura 6: Consola de administración web para hacer ataques |
Puedes ver algunos ejemplos hechos con Trape en este vídeos que muestra en Español cómo se puede utilizar la herramienta.
Figura 7: Cómo usar Trape
Al final la herramienta ofrece una consola de administración web que en tiempo real permite registrar víctimas, ver cuáles son sus sesiones, realizar ataques de phishing ad-hoc, inyectar el envío de exploits y realizar investigaciones OSINT con que solo la víctima haya hecho clic en el hipervínculo donde se ha configurado el servicio.
Autores: Jose Pino & Jhonathan Espinosa CEO & CTO de Boxug
7 comentarios:
muy buena tool Jose! éxitos y a seguir trabajando en este buen camino.
Saludos!
no lo puedo ejecutar desde linux
Me da error en linux cuando lo ejecuto...
buenas, disculpe pero estoy usandolo en kali linux y me pide info IP API KEY y no se que hacer!! se que al instalarlo pide inicialmente el ngrok token y google api pero despues me pide "What is your IP Info Api Key?" y no se que hacer? alguien que me ayude? anteriormente lo habia usado perfectamente pero ahora no.
buenas, disculpen alguien me podria ayudar? tengo problemas para configurarlo ya que me pide "What is your IP Info Api Key?" y no se que hacer...
hola a mi no me deja ni siquiera pasar del primer paso que es introducir git clone https://github.com/jofpin/trape.git me da error no se reconoce como un comando interno o externo que puedo hacer???
Publicar un comentario