정보보안 스터디 - 16주차 6일 - setoolkit을 이용한 피싱사이트 제작

 

☞ setoolkit을 이용한 가짜 사이트 제작

 

사전으로 해야될 작업은 설정파일에 들어가서

apache 서버에 대해 ON을 설정하고

만들어지는 파일이 /var/www/html/에 저장되도록 합니다. 

 

 

가짜 사이트를 생성하면

index.html과 post.php, harvest-2023~.txt가 생성합니다.

index.html은 해당 사이트를 최대한 크롤링 방식으로 피싱 사이트로 만들어졌습니다.

로그인부분만 찾아서 가져옵니다.

그래서 페이스북같은 사이트는 초기에는 로그인페이지를 따로 두고 피싱 사이트가 만들어지게 해서 많이 속을 수 있었지만 지금은 로그인페이지 말고 메인사이트로 로그인하도록 되어 있어서 약간의 수정이 필요합니다.

로그인을 하게되면 post.php로 옮겨져서 txt파일에 크리덴셜정보를 추가하고 

실제 로그인페이지 또는 메인페이지로 리다이렉트 되게끔 설정됐습니다.

공격자 시점에서는 setoolkit에 실시간으로 뜨는 정보를 볼수도 있습니다.

 

물론 전부 완벽하게 복사하지 않았기 때문에 버튼 디테일이라던가, 동적 표현이라던가 자바스크립트를 복사하지는 못합니다.

그런 부분은 php로 만들어서 보완하면 구현할 수 있을 정도입니다. 

 

 

주소는 http://192.168.20.50 로 되어있기 대문에 가짜 사이트 만들고 크리덴셜 계정 정보 수집하기 위해서는

사전적으로 DNS 스푸핑이나 그럴듯한 도메인 구매가 필요합니다.

 

ettercap 에서 먼저

echo "http://www.facebook.com/login   A   192.168.20.50" >> /etc/ettercap/etter.dns
echo "http://*.facebook.com/login   A   192.168.20.50" >> /etc/ettercap/etter.dns
echo "http://www.facebook.com/login   PTR   192.168.20.50" >> /etc/ettercap/etter.dns

이렇게 원하는 사이트를 공격자 사이트로 변조해 연결시킬 수 있습니다.

 

ettercap을 실행 후 게이트웨이와 피해자 시스템을 타겟으로 삼습니다.

MITM> ARP spoofing을 먼저 진행 후 >DNS_spoof 플러그인을 실행합니다.

 

 

 

 

그러면 피해자입장에서 피싱사이트로 접속했고 로그인 후에는 정상적인 사이트로 리다이렉트 되는 것을 확인할 수 있습니다.

 

 

공격자는 수집된 크리덴셜을 확인합니다.

 

 

 

☞ 자바 설치 방식

 

또는 자바를 실행하라고 뜨고 reverse_TCP 를 설치시키는 방식이 있습니다.

마찬가지로 DNS스푸핑을 해야하며 해당하는 사이트에 들어오면 실행하시겠습니까? 라는 메세지가 뜹니다. 

자바를 이용하는 이유는 실행한다고 하면 바로 exe 파일이 실행되기 때문입니다.

여기는 또한 사전적으로 자바 제어판>보안에 예외사이트 등록을 해야되며 자바가 설치되어 있어야하기 때문에 그렇게 추천되는 방법은 아닙니다. 

 

 

☞ beEF 스크립트 삽입

차라리 자바 스크립트 beEF를 이용해서 악성, flash 파일을 다운 받게 하거나, 또는 악성 피싱사이트로 리다이렉트하는 방식이 더 수월해보입니다.

만약 XSS 취약점으로 인해 해당 beEF 스크립트를 삽입할 수 있다면 공격자가 원하는대로 가능할 수 있어보입니다.

 

애초에 나쁜 사이트인 경우에는 beEF 스크립트가 삽입되서

flash, java, 백신, 다운로드 파일, activeX, 키보드 보안제품을 다운받게 합니다.

reverse_tcp에 연결시키게 하는 방법이 있습니다. 그러면 세션에 연결되서 이전 포스팅에서 했던 시작프로그램으로 옮기는 방식을 실행할 수 있을 것입니다.

또한 beEF 스크립트로 인해 피싱 사이트로 리다이렉트되서 크리덴셜을 수집당할 수 있습니다.