Zimperium Mobile Security Labs ha investigado durante el año pasado una nueva técnica que están usando cibercriminales para realizar ataques Man In The Middle (MITM) y redireccionar el tráfico de la víctima hacia el dispositivo del atacante. El nombre de este nuevo ataque es DoubleDirect, y es que una vez que se ha redirigido el tráfico, el atacante puede robar todos los credenciales e incluso añadir un payload malicioso para infectar el dispositivo y posteriormente infectar la red corporativa.
El tráfico de servicios tan populares como Google, Facebook, Twitter o Hotmail, se redirige durante estos ataques en el dispositivo de la víctima. Algunos de los países en los que se han identificado estos ataques son por ejemplo España, Canadá, Francia, Suiza, Rusia, Reino Unido y otros muchos. Para realizar un ataque MITM, habitualmente se recurre a un envenenamiento de la tabla ARP, de esta forma el atacante se hace pasar por el Gateway y la víctima enviará todo el tráfico al atacante, asimismo, el verdadero Gateway enviará todo el tráfico al atacante que a su vez enviará el tráfico a la víctima, haciendo un MITM completo. Una herramienta muy conocida para realizar este ARP Spoofing es arpspoof para sistemas Linux. Os recomendamos leer nuestro manual de SSLstrip donde os enseñamos cómo se realizan este tipo de ataques para intentar evitarlos.
Sin embargo, DoubleDirect se basa en una técnica conocida como ICMP Redirect que es un ataque utilizado como alternativa al envenenamiento de la tabla ARP, ya que es posible que el router impida este envenenamiento de ARP. Actualmente la herramienta ettercap permite realizar half-duplex ICMP Redirect, por un lado se fuerza a la víctima con un mensaje ICMP Redirect falso para que envíe el tráfico hacia nosotros, y por otro lado se realiza un ataque ARP Spoofing contra Gateway. Si el Gateway para este tipo de ataques, el tráfico del Gateway hacia la víctima no pasará por el atacante, por este motivo se denomina Half-Dúplex.
¿Cómo funciona el ataque DoubleDirect?
Este nuevo ataque envía un ICMP de tipo 5 para modificar la tabla de enturamiento de un host. La tabla de enrutamiento se utiliza para enviar mensajes a un determinado host por la mejor ruta disponible en ese momento. Al modificar la tabla de enrutamiento de la víctima, en lugar de enviar los datos por una ruta legítima y que será la mejor ruta posible, la enviará hacia una subred con una IP arbitraria donde el atacante podrá realizar un ataque MITM e incluso comprometer el dispositivo explotando vulnerabilidades conocidas. De esta forma también se podría incluso acceder a la red corporativa.
En DoubleDirect, se está utilizando la técnica de ICMP Redict pero en full-dúplex, en lugar de los tradicionales ataques ICMP Half-Dúplex, ya que Zimperium Mobile Security Labs descubrió que los atacantes son capaces de predecir las IPs a la que accede la víctima. ¿Cómo lo consiguieron? Según Zimperium Mobile Security Labs fue a través de las peticions DNS que realizó la víctima.
Os recomendamos visitar este post de Zimperium Mobile Security Labs donde han publicado una Prueba de Concepto (PoC) que nos permite simular el ataque de estos cibercriminales.