Han entrando en mi WiFi - Necesito consejos para contrarrestar/localizar

Iniciado por Kensai, 14 Julio 2014, 11:42 AM

0 Miembros y 1 Visitante están viendo este tema.

Kensai

Muy buen día,

    Pues nada señores, me estreno en el foro con este tema. Espero hacerme asiduo visitante. Siempre me ha gustado el hacking pero del lado de la luz  :laugh: , no tengo intenciones de andar metiéndome con los demás. Aunque soy informático soy bastante neófito en temas de hacking.


    Os cuento mi odisea que ha empezado este viernes por la noche. Yo siempre he sido un poco paranoico con esto de que alguien se conecte a mi WiFi y más aún porque soy admin/DBA y muchas veces trabajo desde casa y manejo información bastante delicada, llevo en españa un par de años pero apenas hace unos meses instalé un par de programas en mi PC para monitorizar mi WiFi: Who's On My WiFi y Wireless Network Watcher, no los uso simultáneamente, por defecto siempre arranca el primero y el otro lo ejecuto bajo demanda.

   Para mi sorpresa el viernes bien entrada la noche escucho "Unknow computer found" saliendo de los altavoces a través del Who's on my wifi, abro la ventana y veo 2 equipos conectados a mi wifi. Entro al router y en efecto están en la lista de conexiones a la wifi.

    Lo que hago a continuación es cambiar la password de la red, cambiar el SSID y el rango de IPs; también cambié la password administrativa del router. Yo dije "pues bueno, ya está, asunto solucionado" y hasta cierto punto era cierto, a los pocos minutos vuelve a saltar la alerta y veo nuevamente una de las MAC que ya se habían registrado. Repito el mismo proceso nuevamente, sólo que ahora también escondo el SSID, a los pocos minutos PUM, nuevamente. Total, repetí el proceso al menos unas 16 veces mas sin suerte, pero también hice un par de cosas extras cómo cambiar la cantidad de dispositivos permitidos y reduje el rango del DHCP a sólo 6 IPs, sin importar lo que hiciera allí estaba de nuevo la misma MAC.

    Ayer por la mañana decidí hacer filtrado por MAC y he puesto la del intruso en lista negra, por unos minutos funcionó hasta que pum, nuevamente tenía una IP asignada en el rango de mi WiFi.


    Cosas que he observado durante el proceso:

1.- Si bien es cierto que tanto Who's on my Wifi como Wireless Network Watcher vuelven a detectar la misma MAC ya no aparece en las estaciones autenticadas en el router ni en la lista ARP, pero sin embargo si que se le ha asignado una IP en mi red.

2.- Previo al filtrado por MAC el device name de mi router cambió COMTREND a "xxx-xxx-xxx-1.dls.xxxx.xxx.net. Donde xxx-xxx-xxx-1 es la ip del router dentro del rango de ip de mi red wifi.

3.- Durante el filtrado de MAC he visto que ahora el device name del intruso cambió de estar en blanco a xxx-xxx-xxx-2.dls.xxxx.xxx.net, siendo esta la 2da ip de la red.

4.- La MAC del intruso (asumiendo que sea su MAC real) pertenece a Zinwell Corporation 00:05:9E:xx:xx:xx (no la he puesto porque ya se que se prohibe ponerla entera).

5.- Hice una escaneo con netsurveyor y Xirrus Wifi Inspector y las MAC de las redes cercanas (incluso las que tienen el SSID oculto) no coinciden con la del atacante, asumiendo que la MAC sea real.

6.- Sin importar que tan rápido me conectara nuevamente a la Wifi posterior a cada cambio, el DHCP siempre le asignaba primero una IP a él antes que a mi.

7.- Cómo última medida reduje la cantidad de IP's a 3 en el DHCP y cuando lo hice seguía con internet pero perdía automáticamente acceso al router. Luego de perder acceso al router, observé que la dirección IP de mi PC dejaba de ser una interna de la Wifi y se convertía en una IP pública (lo vi por Wireless Network Watcher).



Mi WiFi:

- El SSID de mi red y las passwords (router y red) no eran estándar.
- Uso WPA2/AES (hubo un momento que activé el WPS hasta que leí aqui que era una caca).
- La contraseña era/es de 16 dígitos, combinando letras (mayúsculas y minúsculas), números y caracteres especiales.
- No comparto la contraseña con nadie.  
- El router básicamente es basofia (es de Jazztel).
- El router tiene usuarios por defecto para las interfaces WAN y tenía puertos de eMule abiertos en el área NAT del router.  Edit: El ISP cambió las passwords de las interfaces y yo borré los puertos del área NAT.


    Ahora mismo estoy descargando el Moocher Hunter y sólo estoy navegando por una tablet totalmente en blanco sin programas o cuentas con contraseñas por lo acojonado que estoy :(. ¿Podría este atacante haber establecido un evil twin haciéndose pasar por mi router? Lo peor es que todos mis vecions por lo que veo tienen WPS activo, otros tantos con WEP y más de uno con la red abierta (incluyendo una impresora HP).

   Lo dicho, pues nada, básicamente lo que quiero es que esa persona vaya a la cárcel sin mas. Estoy dispuesto a escuchar sugerencias, tips, advertencias, consejos, medidas para contrarrestar o localizarle, etc. Y de más está decir que estaré eternamente agradecido.

Un saludo.

Sh4k4

anota los datos macs, ips, capturas de pantalla, etc, desactiva tu wifi y llama a la policia, podrias ser inculpado de delitos ajenos a ti, asi quedara asentado que tu tuviste una intrusion, no se sabe el nivel de esta ya que hemos visto desde pequeños troyanos remotos, hasta routers envenenados, keyloggers hardware, por lo mientras usa cableado y formatea equipos y resintala SO, verifica sino hay actividades sospechosas revisa tus medios de almacenamiento, usa AV, FIREWALLS, ya sabes lo comun -> https://www.youtube.com/watch?v=ApCvi4MFgYY#t=17m57s

Kensai

Cita de: Sh4k4 en 14 Julio 2014, 20:35 PM
anota los datos macs, ips, capturas de pantalla, etc, desactiva tu wifi y llama a la policia, podrias ser inculpado de delitos ajenos a ti, asi quedara asentado que tu tuviste una intrusion, no se sabe el nivel de esta ya que hemos visto desde pequeños troyanos remotos, hasta routers envenenados, keyloggers hardware, por lo mientras usa cableado y formatea equipos y resintala SO, verifica sino hay actividades sospechosas revisa tus medios de almacenamiento, usa AV, FIREWALLS, ya sabes lo comun -> https://www.youtube.com/watch?v=ApCvi4MFgYY#t=17m57s

Hola Sh4k4,

Muchas gracias por tu respuesta.

     Ya formateé el equipo. Justo antes de hacerlo hice un scan con KIS2015 y Malwarebytes y en teoría decía que estaba todo limpio, lo cual me parecía un poco extraño, y mas cuando ayer por la tarde (en mi empresa) un par de horas luego de postear el tema en el foro...de la nada comenzaron a abrirse decenas de sesiones de chrome con una página que tenía en mis favoritos, tan simple cómo desconectar mi pc de la red y cerrar todas las sesiones.

     En la noche mientras hacia respaldo en mi pc me pareció ver un par de archivos .csv en mi unidad C:\ que estoy casi seguro que no generé yo, o a lo mejor sí pero la paranoia puede más que yo.

    Ayer acudí a la sede local de la policia y ya me han dicho como actuar y a que brigada debo hacer la denuncia.

    Tengo un par de dudas ahora, y es que según lo que he investigado mi router junto con el de otra operadora en españa es de los mas fáciles de hackear (el ESSID anda por doquier al igual que diccionarios), ¿valdría la pena comprar un router por mi cuenta y dejar ese a un lado? El ISP me dice que ellos no tendrían problemas.

    Luego que esto pase, aparte de las medidas estándar de seguridad, valdría la pena usar mac changer para que mi verdadera MAC no estuviera disponible a algún atacante de mi WiFi? podría hacerse esto para mi router? Que software o configuraciones/técnicas recomiendas para ser menos vulnerable?

Igual no tienes que publicar lo que me comentes por aqui, si lo prefieres puede ser por privado.

Muchas gracias a ti y a los que puedan ayudarme.

Saludos.

Sh4k4

Citar¿valdría la pena comprar un router por mi cuenta y dejar ese a un lado?
Si lo mejor es usar otro router aunque en esto de la seguridad ya sabemos que un 0day puede ser el meollo del asunto, opta por alguna marca que si de soporte por lo menos en cuanto a soluciones y actualizaciones y se acople a tus necesidades

Citarvaldría la pena usar mac changer para que mi verdadera MAC no estuviera disponible a algún atacante de mi WiFi?
Algunos routers tienen ya esa capacidad de "cambiar la mac" pero en si, seguirian siendo parcialmente visibles si tienen las claves, wifi va por el aire y por ende le hace vulnerable y a la mano de cualquiera que escuche/capture/descifre_descodifique-analize, planteate cablear en algunos puntos donde haya informacion sensible y separar redes tanto wifi red- wifiinternet - wifi publico si es que lo utilizais, etc, añade mas capaz de seguridad como recomienda el propio chema alonso, cambia a WPA2 Enterprise, ademas de mas protocolos de seguridad, una memoria usb insertada por unos segundos es mas que suficiente para infectar sin tener que tocar el mouse y/o teclado, etc, hay pintura antiwifi para bloquear o reducir la salida de tu señal wifi, disminulle la potencia si no necesitas tanta potencia, usa software de deteccion de movimiento el cual verifica si un solo byte ah sido cambiado o incluso que archivos han sido modificados en sus fechas creado-modificado-acceso, etc vamos hay mucha tela donde cortar... salu2 y suerT!  ::)

Kensai

Hola Sh4k4,

     Gracias nuevamente por tu tiempo y la info!  ;-)

1.- ¿Alguna marca recomendada de router? :) Este router que me dieron intenté cambiar el poder de transmisión pero no parece surtir efecto. ¿Cómo puedo estar seguro que el cambio de potencia ha surtido efecto? (Aparte de caminar por la calle y por el edificio y ver si la señal llega por fuera xD)

2.- ¿Hay algún software que sea mejor que el otro en este caso? He visto estos:

- Watch 4 Folder.
- Directory monitor.
- TheFolderSpy.
- TrackFolderChanges.
- FolderChangesView.
- Windows Explorer Tracker.
- Spy-The-Spy.
-SpyMe Tools.
- Disk Pulse.

Perdona por lo cansón :)
Gracias.

Sh4k4

Citar¿Alguna marca recomendada de router?
cisco? jeje no es comercial pero vamos tiene buen soporte  :xD

Citar¿Cómo puedo estar seguro que el cambio de potencia ha surtido efecto?
puedes medir con hardware especial, tambien lo de pasear por el edificio pero claro es incierto lo ideal es medir la señal entre el cambio de potencia mw con tools que muestren el rssi y no confiar en las tipicas barritas de windows o demas....

Citar¿Hay algún software que sea mejor que el otro en este caso? He visto estos:
hay muchos creo con que cumplan con tus demandas y compruebes que son fiables y se mantengan los proyectos es mas que suficiente hay incluso algunos que te envian al cel cambias sencillos, logeos, updates, instalaciones, dispositivos de almacenamiento, etc por ejemplo pulseway o pc monitor, que necesitas revisar? archivos, red, ancho de banda, analizis de trafico, procesador? o todo?

Kensai

Cita de: Sh4k4 en 15 Julio 2014, 11:54 AM
cisco? jeje no es comercial pero vamos tiene buen soporte  :xD

    Sólo lo preguntaba si había alguna marca conocida por ser menos insegura :P Toda la vida he tenido LINKSYS, érase una vez tuve un TP-LINK.

Cita de: Sh4k4 en 15 Julio 2014, 11:54 AM
puedes medir con hardware especial, tambien lo de pasear por el edificio pero claro es incierto lo ideal es medir la señal entre el cambio de potencia mw con tools que muestren el rssi y no confiar en las tipicas barritas de windows o demas....

De acuerdo intentaré varios métodos, entre ellos sacar las antenas  ;D


Cita de: Sh4k4 en 15 Julio 2014, 11:54 AM
hay muchos creo con que cumplan con tus demandas y compruebes que son fiables y se mantengan los proyectos es mas que suficiente hay incluso algunos que te envian al cel cambias sencillos, logeos, updates, instalaciones, dispositivos de almacenamiento, etc por ejemplo pulseway o pc monitor, que necesitas revisar? archivos, red, ancho de banda, analizis de trafico, procesador? o todo?

    Básicamente monitorizar o vigilar un par de carpetas específicas y de ser posible que obtenga correos o SMS al respecto :).

    Pregunta, si llego hoy a casa y esta MAC sigue alli? :(  Mi paranoia básicamente es la información, porque si es una persona que realmente sabe lo que hace no importa lo que haga supongo que tendrá acceso a mi PC  :huh: :(

   Ayer por la noche, dejé de ver la MAC luego que realicé todos los cambios nuevamente y volví a hacer el filtrado por MAC y eliminé los puertos NAT abiertos de eMule. ¿Me garantiza esto que la persona no tendrá acceso los archivos en mi disco? Es que me parece curioso:

1.- Que el intruso siempre obtenga por DHCP una IP por debajo de la mia, en este caso siempre obtiene la primera del rango. Supongo que el que ahora no lo vea "conectado" no quiere decir que no esté sniffeando, porque si fue capaz de cambiar el hostname del router eso quiere decir que tiene acceso pleno. Habrá configurado ya un Evil Twin?  :o

2.- ¿Qué puedo hacer para realmente estar tranquilo? Si quito las antenas del router y me conecto por cable, ¿igual no se ha metido ya en el router? Podría igual entrar, mirar y pasearse por mi red, no?

3.- ¿Serviría de algo a estas alturas, que bloquee todas las MAC de las WiFi circundantes?

Al final de todo, la mitad de mi jornada laboral la hago desde casa y no me he conectado por miedo a comprometer la seguridad de la información de la empresa. Ya he mandado a cambiar TODAS las contraseñas de todos los servidores, incluso he cambiado las contraseñas de todos los usuarios que tengo de cuentas de correo, etc. Por culpa de un imbécil (o varios) sin oficio estoy retrasándome en el trabajo  >:(

    Ayer intenté arrancar el moocher hunter pero me dió un error de filesystem, lo cual me pareció raro porque al final es un liveCD  :¬¬

EDIT: OJO: Olvidé mencionar que en Who's on my wifi y Wireless Network Watcher aún cuando aparecia un device name asociado a la MAC el hostname siempre ha sido invisible ¿ayuda esto en algo?  :huh:

Y bueno nada, necesito ventilar la frustración.

Siempre agradecido por tus respuestas. :)

Kensai

Hola señores,

     Un par de preguntillas (aparte de las que ya tenía).

1.- Si se supone que ya he hecho un reset del router y he cambiado todo ¿hay alguna forma que el intruso haya capturado información de estos cambios que hice?  Basándonos en que fue capaz de entrar al router, cambiar el hostname del DNS proxy y posiblemente ocultar su MAC para que no le siga detectando.

2.- Luego de este reseteo del router ¿podría estar "tranquilo"? Coloqué una contraseña WPA2/AES de 32 caracteres con todo lo que podía.


     Ahora bien, cómo se están tardando una eternidad en responderme en el primer escalón de la denuncia (antes de llevarlo a mayores instancias), tengo un par de ideas que ya me dirás si son buenas o no, y es lo siguiente:

     Quisiera tratar de localizar esta MAC (de ser posible) en las redes circundantes, tengo al menos unas 12 Wifi's cerca, 2 con SSID escondido. Una vez localizada la verdad que ni pienso entrar sólo tomar pantallazos para que sirvan de prueba.

1.- ¿Usando el Kali + airodump-ng sería suficiente?.
2.- ¿Lo mejor sería usar una VM desde Windows o instalar una distro en dual boot?

Todos los consejos serán de mucha utilidad.
Muchas gracias.


P.D. Tengo la impresión que sólo he hecho preguntas que seguramente ameritan un "RTFM" porque sólo me ha respondido Sh4ka  :-X

Sh4k4

verifica con el airodump ahora vemos que la wpa con TLS no es seguro(sin parchear), vete por AES como vas hasta ahora, un reset es eso, verfica tu version de firmware(actualiza), quien esta conectado es invisible? nadie es invisible, usa airodump-ng si crees que se han comprometido los protocolos(poco probable) y sales de dudas ve todo lo que este asociado aun sean fakes a tu router, o stations que generen trafico inusual...vm-dual o live como te acomodes- vm solo usb, dual espacio en hd, live arriba de 4gb, no no es RTFM solo que te estas paniqueando mucho, la mayoria de los atacantes cae simplemente al cambiar contraseñas, activar logs y activar software de monitoreo, que no lo veas no es razon para pensar que se invisibilizo o es un fantasma, usa airodump como tool final para ver quien esta alrededor(usa una buena antena), quizas hasta puedas encontrar su paradero con las redes a las que se conozca y la intensidad de su señal obviamente antes de proceder contacta a la policia para ver hasta donde puedes intervenir.... y si amigo contrata a alguien especializado en seguridad informatica, necesitas mucha info y muchos detalles que tapar, checar, revisar y probar.... lamentablemente este es un foro y no soporte tecnico y las dudas se estan convirtiendo en muchas cosas que uno se queda corto en leer y escribir, necesitas a alguien fisicamente, quizas 1 detalle que no sacas a relucir o simple paranoia...

Kensai

Todo bien! Salvo lo del detalle a relucir que no entendí xD.

     La paranoia es porque muchas veces debo seguir trabajando desde casa y administro una cantidad considerable de sistemas y bases de datos de clientes, por lo que el que se cuele una password de alguno de los archivos que tengo en el HDD podría tener muy malas consecuencias.

     La verdad que necesito seguir leyendo en informándome de todas las precauciones que debo tener de ahora en adelante.

Gracias.