Intrusión incomprensible.

Iniciado por Anjonasaba, 22 Marzo 2016, 10:46 AM

0 Miembros y 1 Visitante están viendo este tema.

Anjonasaba

¡Hola! Hace unos meses se conectaban a mi red WIFI  varios smarphones. Cambié la clave  y filtré todos los dispositivos que se conectaban al router por MAC. Ahora al ralentizarse la conexión compruebo con Wireless Network Wattcher y Fing si hay alguien conectado al router pero no... Lo gracioso es que mirando en Equipo/Red veo que están conectados. Supongo que de alguna manera están accediendo al PC y conectandose a través de él a internet burlando el filtrado MAC. El sistema operativo que utiliza ese ordenador es Windows 10 . En otro ordenador en la misma red domestica con Windows 7 no se ve nada cuando vas a Equipo/Red. ¿Alguien me sabría decir que está pasando?

arget

Para poder acceder a tu ordenador es necesario encontrarse en la misma red que dicho ordenador (o al menos ser accesible desde la suya, pero esto ahora no tiene que ver). Lo único que se me ocurre es que:
1. Para empezar, usas WEP o claves demasiado sencillas o predecibles.
2. Yo no sabía que desde Equipo/Red podías ver si hay alguien conectado, y lo dudo mucho, porque para eso Windows tendría que realizar un escaneo de la red (ya que con los paquetes broadcast no te aseguras de haber obtenido todos los participantes de la red), y no veo a Microsoft haciéndolo.
3. Spoofeen sus MACs. Mediante aplicaciones como macchanger puedes cambiar la dirección MAC aparente de tu tarjeta de red, observan mediante airodump-ng qué MACs están conectadas a tu red y por tanto las admite tu router, se "cambian" su MAC por esas y si también poseen la clave pueden acceder.
La gestión manual de bloques de memoria en C es como hacer malabarismos con pastillas de jabón en la ducha de la prisión: todo diversión hasta que cometes un fallo.

Zomkar

#2
Cita de: arget en 22 Marzo 2016, 16:50 PM
2. Yo no sabía que desde Equipo/Red podías ver si hay alguien conectado, y lo dudo mucho, porque para eso Windows tendría que realizar un escaneo de la red (ya que con los paquetes broadcast no te aseguras de haber obtenido todos los participantes de la red), y no veo a Microsoft haciéndolo.

http://windows.microsoft.com/es-mx/windows/what-is-network-discovery#1TC=windows-7

Sobre el spoofeo de MAC claro que es posible, pero si el equipo cuya MAC se spoofea está conectado, ambas conexiones serán "inestables", ya que el router estaría constantemente cambiando la dirección IP correspondiente a esa MAC en la tabla ARP.

Yo las posibilidades que veo son:
1.Usas claves WEP o sencillas de descifrar
2.Tienes WPS activado y vulnerable
3.Tienes un troyano en el equipo
4.Confundes los equipos que ves con intrusos, cuando son legítimos (no sé si los puede haber, pero es una posibilidad)

PD: si en el otro PC no se ve nada, podría ser porque tiene la deteccion de redes desactivada, o porque pertenece a otra red
Si vas a por ellos te llamarán violento.
Si explotas a cientos te verán como un ejemplo.

Anjonasaba

El router es WPA-PSK y la clave sencilla no es pero... Cuando accedian claramente por wifi y los podía detectar con FING (Android) o Wireless Network Watcher con el PC que está conectado de forma inalambrica al router utilizando Windows 7, el PC en el que se ven conectados en su red ahora también se veían antes. Lo que me extraña es que sus MAC no coinciden con ninguna de las que el router permite conectar. ¿Un expediente X?

Zomkar

Pues algo no cuadra, claro.

Puedes probar a desactivar la wifi y ver si siguen apareciendo (guarda la configuracion de wifi por si te la elimina al hacerlo)

Por otra parte intenta averiguar a qué dispositivo pertenecen , sigo pensando que son dispositivos tuyos que no estás teniendo en cuenta. Para eso utiliza cualquier programa como https://www.softperfect.com/products/networkscanner/

Independientemente de eso, deberias configurar la red en protocolo wpa2 y cifrado AES 256 bits, si todos tus equipos lo soportan (o el más alto que se pueda).

Si vas a por ellos te llamarán violento.
Si explotas a cientos te verán como un ejemplo.

arget

Bueno, no se por qué no puedo insertar una cita (tengo javascript activado y todo, pero nada):

Cita de Zomkar:
"Sobre el spoofeo de MAC claro que es posible, pero si el equipo cuya MAC se spoofea está conectado, ambas conexiones serán "inestables", ya que el router estaría constantemente cambiando la dirección IP correspondiente a esa MAC en la tabla ARP. "

Este tema siempre me ha gustado discutirlo, y es que yo en el instituto he conseguido la clave del router y spoofeando la MAC tengo acceso (estando el de la MAC original conectado). Y funciona, ni se crashea la red ni nada. Yo diría que es por esto, en una red por cable el router sí que recuerda en qué conector tiene a qué MAC, si de repente aparece la misma MAC en dos conectores, me resultaría lógico que lo mande al primero que revise, ¿por qué?
Router recibe paquete desde cualquier nodo de la red incluyendo el módem para paquetes que lleguen de Internet ("ahí afuera") para una MAC concreta [aunque el router y el módem se encuentren en el mismo aparato sería igual], mira en sus enchufes de la espalda y comprueba el 1, ¿ahí está la MAC? si es que sí, lo manda por ahí, si no, mira el 2, etc, una vez lo ha mandado (si no lo encuentra lo desecha) deja de buscar más, por tanto en caso de haber dos enchufes con la misma MAC el del enchufe más lejano quedará incomunicado sin recibir paquetes (pero podrá enviarlos).
Pongámonos en el caso de una red wireless, aquí no se puede evitar el broadcast, el router envía los paquetes de uno a todos y por tanto el de todos a uno (cuánto daño han hecho los tres mosqueteros). Si hay dos con la misma MAC, al conectarse, el falso hablará con el DHCP, quién recordará la MAC y le otorgará la misma IP que el original (si no hay DCHP, cosa rara, siempre puedes ponerte tú mismo la IP del original). Cuando envías un paquete, el router lo procesará como si fueras el original, cuando el original envíe un paquete el router lo procesará como quien es: el original. Cuando llega un paquete para nuestra MAC, sea uno provocado por nosotros o por el original, lo recogeremos ambos, si uno lo reconoce como respuesta a uno suyo anterior, lo guarda, si no, lo desechará.
Pongamos que yo realizo una petición a Google, cuando regrese la respuesta de Google tanto yo como "el otro" la cogeremos, solo que yo lo reconoceré como la respuesta a mi petición y el otro no lo reconocerá, de modo que lo desechará. Sin más complicaciones, señores.
La gestión manual de bloques de memoria en C es como hacer malabarismos con pastillas de jabón en la ducha de la prisión: todo diversión hasta que cometes un fallo.

Anjonasaba

#6
Pasaré un antivirus como Kaspersky 10 a ver que pasa, también desactivaré el wifi y probaré network scanner, pero dispositivos mios no son ya que veo hasta la marca WIKO,LG,... a no ser que finjan que son otros dispositivos y lo hagan desde un PC...




De momento lo que he encontrado es que tengo Firefox y Chrome infectados con Smartsputnik.ru. Le he pasado no se cuantos programas que he visto por internet pero no consigo quitarlo del PC.

arget

#7
Yo es que no veo motivos para pensar que tengas ningún troyano. Para infectarte primero han tenido que tener acceso (evidentemente no es necesario físico) a tu ordenador. Imaginemos que durante el tiempo que tuvieron acceso a la red te infectaron explotando una vulnerabilidad en tu sistema o modificaron en el aire el paquete de alguna página web con el mismo propósito de explotar una brecha. Para empezar tendrías un serio problema porque no sabemos cuán profundo puede llegar dicho virus mediante dicha vulnerabilidad, aunque si es un virus capaz de obtener la clave WiFi es cuanto menos preocupante. Pero analicemos la situación olvidando esto: en caso de que el virus tenga como único propósito obtener la clave de WiFi la deberá mandar a un servidor en internet al cual se deberán conectar los atacantes para obtenerla, sin embargo si te están invadiendo la red es porque no tendrán conexión a Internet precisamente, de manera que no veo la forma... si te quieres poner hipocondriaco reinstalaría Windows porque no sabemos hasta dónde puede llegar el virus, puede haber instalado un rootkit y un anti-rootkit no garantiza descubrirlo (el rootkit controla absolutamente todo el sistema, si detecta un anti-rootkit mediante el método que sea le bastaría con matarlo y ya, si es más sofisticado se ocultará manipulando las llamadas al sistema, por ejemplo, si el anti-rootkit pide la lista de procesos, el rootkit devolverá la lista tras filtrar los procesos que puedan aportar indicios de su presencia).
Aunque si el troyano ralentiza la conexión será porque pertenezca a una botnet y lo utilicen para DDoS, sin embargo no veo motivos para que lo veas como otros equipos en la red.
Pero en principio te digo que esto es un problema limitado al ámbito de redes. Te recomiendo arrancar desde una distro live de linux y ejecutar un nmap, eso sí que es fiable al (prácticamente) 100%
La gestión manual de bloques de memoria en C es como hacer malabarismos con pastillas de jabón en la ducha de la prisión: todo diversión hasta que cometes un fallo.

Sh4k4

#8
CitarYo es que no veo motivos para pensar que tengas ningún troyano
Es dificil que le hallan infectado de algun modo, la mayoria de intrusiones a redes wifi son para robar internet y lo hace gente de poca monta o scripkiddies o gente con apps enlatadas.... y un poco porcentaje seria capaz de hacer arreglos para conservar acceso a una red wifi... backdoors?

CitarPero analicemos la situación olvidando esto: en caso de que el virus tenga como único propósito obtener la clave de WiFi la deberá mandar a un servidor en internet al cual se deberán conectar los atacantes para obtenerla,
eso es suposicion podrian ser sotisficados y usar intranet, proxys, cifrados, tunellig o conexiones directas si son tan tontos ,etc,etc,etc,etc o incluso enviar la informacion de maneras mas sotisficadas... no se sabe... a menos que estes 100% seguro de como funciona

Citarsin embargo si te están invadiendo la red es porque no tendrán conexión a Internet precisamente, de manera que no veo la forma...
quien dice que no? si tu dices que mandan la clave key de la red a un servidor lo de menos es ir a un "internet de pago o renta internet" y en 5 minutos obtener la clave O si fuiste capaz de obtener una clave de una wifi obtener otra y hacer lo antes mencionado?

Citarsi te quieres poner hipocondriaco reinstalaría Windows porque no sabemos hasta dónde puede llegar el virus, puede haber instalado un rootkit y un anti-rootkit no garantiza descubrirlo (el rootkit controla absolutamente todo el sistema, si detecta un anti-rootkit mediante el método que sea le bastaría con matarlo y ya, si es más sofisticado se ocultará manipulando las llamadas al sistema, por ejemplo, si el anti-rootkit pide la lista de procesos, el rootkit devolverá la lista tras filtrar los procesos que puedan aportar indicios de su presencia).
rootkit? bueno si fueras realmente hipocondriaco apagas sacas el HD lo golpeas con un martillo y lo lanzas a un lago... a no eso es para otras cosas..  :rolleyes: no no... tu realmente deberias solo cambiar el HD por otro nuevo, por que tambien sabrias que hay malware que se esconde detras de un reinstall win2 o un format, incluso peta el SO si le borras... asi es no sabemos que tienen en la manga los malos roba wifis, ya de paso tira el pc o laptop a la basura quien dice que no pudieran infectar la BIOS...  :rolleyes:

CitarAunque si el troyano ralentiza la conexión será porque pertenezca a una botnet y lo utilicen para DDoS, sin embargo no veo motivos para que lo veas como otros equipos en la red.
no te suena spoofear?, claro que pueden ser otros dispositivos conectados y hacer DOS a lo que quieran...

Citar
Pero en principio te digo que esto es un problema limitado al ámbito de redes. Te recomiendo arrancar desde una distro live de linux y ejecutar un nmap, eso sí que es fiable al (prácticamente) 100%
Ya se ha hablado de la invisibilidad en redes wifi, dispositivos intrusivos o no que puedan permanecer invisibles muy poco probable siempre se veran y no necesitas linux y menos nmap.. (cazando moscas con una escopeta?), si pudieras manipular los protocolos a nivel bajo, truquear y hacer chorradas tipo root and dios, si es posible pero raro como un grano de arena con tu nombre completo, tu direccion y tu ultimo comentario de faceb00k... si es posible

pd: se habla de virus, de troyanos de rootkits de zombies en botnets....lo cierto es que no se sabe....(hablando de propiedades del mismo bicho) un virus copia su propio codigo a otros, un gusano se copia completo a mutiples, un troyano se hace pasar por otros, un rootkit es una tool con muchas posbilidades y habilidades dadas por el SO, un bug o wherever,botnet-zombie-dostool tambien solo con el objetivo de saturacion de algun protocolo u capacidad medible en algun ranking tencologico, siempre pudiendo haber un worm rootkit o un virus zombie....un virus worm???  :P que hago? sigue los pasos ya descritos antes.... desactiva tu wifi y cualquier modo de transmicion de informacion, energy? jaula de faraday?... maybe, reinstala SO en nuevos HD en todos tus dispositivos, cambia contraseñas y preparate para un clasico robo de data o identidad(aviso a todo aquel que tuvo contacto con tu wifi), actualliza todo y adopta AV, antimalwarez, firewalls, rules, directicas, umbrales, etc, etc, etc, verifica dispositivos de almacenamiento o desechales, usa sandbox y maquinas virtuales.... lives,etc,etc vota tu smartphone y compra otro si tambien podria haber sido comprometido... deja de pasar la wifi y activa la wifi cambiando todos los parametros ya mencionados en pasados post only wpa2 sino wpa minimo y kita wps.... minimo, de ahi eso seria casi un full paranoic, sino solo estariamos jugando y como sabemos muy pocos expertos se molestarian en crean una tool para mantener su wifi robada....eso sin contar del posible robo de informacion y claro identidad...... y si no olvides notificar a tu policia local, tu red puede o pudo haber sido utilizada para actos delictivos.... ojo  :)


Anjonasaba

#9
No voy a destrozar el disco duro ni nada por el estilo. Voy a intentar averiguar quien es y que hace. De momento nueve dispositivos que parecen ser móviles se han conectado al PC, ninguna de sus MAC coinciden con los que se conectaban con wifi aunque las pueden cambiar, hasta ahí ya han empezado a llegar mis conocimientos. Lo gracioso es que no utilizan mis MAC. Comenzando a utilizar Wiresark pude ver a un par de páginas a las que se conectó el último intruso y una fotografía... Y se desconectó...y ahora llevo tres días sin ver que nadie se conecta. Y ahora la pregunta del millón porque soy un pardillo en éstos temas...¿Pueden detectar que estoy intentando detectar lo que hacen?
¡Gracias!

¿Y si ahora se conectan a la red de otra manera sin ser necesariamente a través de wifi y sólo para fastidiar?