INetSim en Kali Linux: Guía Rápida

 

 https://www.onlinetis.com

INetSim en Kali Linux: Guía Rápida

INetSim (Internet Services Simulation Suite) es una herramienta fundamental en Kali Linux para el análisis de malware. Básicamente, permite simular servicios de Internet (como DNS, HTTP, FTP, SMTP, etc.) en un entorno controlado y "engañar" al software malicioso para que crea que está conectado a la red real.

Aquí tienes una guía rápida para configurarlo y ponerlo en marcha.

1. Instalación

Aunque Kali suele traer muchas herramientas, a veces INetSim no viene instalada por defecto. Puedes instalarla con:

Bash
sudo apt update
sudo apt install inetsim

2. Configuración Básica

El archivo de configuración principal se encuentra en /etc/inetsim/inetsim.conf. Antes de lanzarlo, debes indicarle en qué dirección IP debe escuchar (generalmente la IP de tu máquina Kali en tu red interna de laboratorio).

  1. Abre el archivo:

    sudo nano /etc/inetsim/inetsim.conf

  2. Busca la línea de service_bind_address:

    Descoméntala (quita el #) y cambia 127.0.0.1 por 0.0.0.0 (para que escuche en todas las interfaces) o por la IP específica de tu Kali.

  3. Configura el DNS:

    Busca la sección de dns_default_ip y pon la IP de tu máquina Kali. Esto hará que cualquier consulta de nombre que haga el malware sea dirigida a tu propia máquina.

3. Funcionamiento de INetSim en un Laboratorio

Para que sea efectivo, INetSim se usa comúnmente en un entorno de red aislada (Host-Only).

  • Máquina Víctima (Windows): Se configura para que su "Puerta de enlace" (Gateway) y su "Servidor DNS" sean la dirección IP de la máquina Kali.

  • Máquina Atacante (Kali con INetSim): Recibe todas las peticiones. Si el malware intenta contactar a http://malware-server.com, INetSim responderá con una página web falsa, permitiéndote ver qué intentaba descargar o enviar.

4. Comandos Principales

AcciónComando
Iniciar INetSimsudo inetsim
Ver Reportes/var/lib/inetsim/report/
Ver Binarios Recibidos/var/lib/inetsim/http/post/
Detener ServicioCtrl + C en la terminal

5. ¿Por qué usarlo?

  • Análisis Dinámico: Observas el comportamiento del malware sin que este toque el internet real.

  • Captura de Explotación: Puedes ver si el malware intenta descargar etapas adicionales (payloads).

  • Seguridad: Evitas que el malware se comunique con su servidor de Comando y Control (C2) real.

Nota importante: Asegúrate siempre de que tu máquina virtual de análisis no tenga salida a internet (Modo Host-Only en VMware o VirtualBox) para evitar fugas accidentales de tráfico malicioso.

 

Capturar los archivos que el malware intenta "subir" (exfiltrar) es una de las partes más reveladoras del análisis.

Para configurar el servidor HTTP de INetSim de modo que capture datos de formularios o archivos enviados mediante el método POST, sigue estos pasos:

1. Habilitar el almacenamiento de POST

Por defecto, INetSim simula la respuesta, pero no siempre guarda el contenido de lo que se envía a menos que esté configurado.

  1. Abre de nuevo el archivo de configuración:

    sudo nano /etc/inetsim/inetsim.conf

  2. Busca la sección de HTTP.

  3. Asegúrate de que estas líneas estén activas (sin el # al principio):

    • http_post_directory: Define dónde se guardarán los archivos recibidos. (Por defecto es /var/lib/inetsim/http/post/).

    • http_fake_404_url: Puedes personalizar qué pasa si el malware busca una página que no existe.

2. Configurar la respuesta (Fake Files)

Si el malware intenta descargar una actualización o un segundo payload (ejemplo: update.exe), puedes configurar INetSim para que siempre le entregue un archivo específico.

  • Los archivos que INetSim "sirve" están en: /var/lib/inetsim/http/fakefiles/

  • Puedes sustituir el archivo sample.exe de esa carpeta por uno propio (o una herramienta de monitoreo) para ver si el malware lo ejecuta.

3. Ver los resultados en tiempo real

Una vez que el malware se esté ejecutando en la máquina víctima y empiece a enviar datos, puedes monitorear la actividad en Kali de dos formas:

A. El Log de INetSim

Para ver qué está pasando al segundo, abre una nueva terminal y usa:

tail -f /var/log/inetsim/service.log

B. Revisar los archivos capturados

Si el malware envió información sensible o archivos, ve directamente a la carpeta de capturas:

cd /var/lib/inetsim/http/post/

ls -lh

Ejemplo Práctico

Si el malware hace una petición como esta:

POST /login.php?user=admin&pass=12345

INetSim creará un archivo en la carpeta /post/ que contendrá exactamente esa cadena de texto, permitiéndote ver qué credenciales o datos robados está intentando enviar el atacante.

Un consejo extra de seguridad:

Si quieres ver el tráfico con mucho más detalle (cabeceras completas, cookies, etc.), te recomiendo abrir Wireshark en Kali simultáneamente. Filtra por la IP de la víctima y verás la "conversación" completa entre el malware e INetSim.

 

Configurar el DNS es el paso "maestro", porque es lo que engaña al malware para que no sepa que está en una red falsa. Sin un DNS bien configurado, el malware intentará conectar a un dominio (ejemplo: botnet-control.com) y, al no resolver la IP, se detendrá.

Aquí te explico cómo hacer que INetSim responda a cualquier consulta DNS con la IP de tu máquina Kali.

1. Configurar el "Comodín" DNS

Queremos que no importa qué dominio busque el malware, siempre reciba la IP de tu laboratorio.

  1. Abre el archivo de configuración:

    sudo nano /etc/inetsim/inetsim.conf

  2. Busca la sección DNS.

  3. Localiza la línea dns_default_ip. Descoméntala (quita el #) y pon la IP de tu Kali:

    dns_default_ip 192.168.1.10 (Cambia esto por tu IP real)

  4. Busca la línea dns_hostname. Puedes poner algo como servidor-seguro.local.

  5. Importante: Asegúrate de que el servicio DNS esté habilitado en la lista de servicios al inicio del archivo (por defecto lo está).

2. Configurar la Víctima (Windows/Linux)

Para que esto funcione, la máquina donde corre el malware debe "preguntarle" a tu Kali.

  • En Windows: Ve a Propiedades de Red -> IPv4 -> Servidor DNS preferido.

  • Escribe la IP de tu máquina Kali.

  • Deja la Puerta de enlace (Gateway) también como la IP de tu Kali.

3. La prueba de fuego

Antes de ejecutar el malware, verifica que el engaño funciona:

  1. En Kali, inicia INetSim: sudo inetsim

  2. En la máquina víctima, abre una terminal (CMD) y escribe:

    ping google.com o ping lo-que-sea.com

  3. El resultado: Debería responderte la IP de tu Kali. Si ves tu propia IP en el ping, ¡el malware está atrapado!

4. Análisis de Logs de DNS

INetSim guarda un registro de todos los dominios que el malware intentó contactar. Esto es oro puro para inteligencia de amenazas (OSINT).

  • Mira el log en: /var/log/inetsim/service.log

  • Busca líneas que digan [DNS]. Verás algo como:

    [DNS] Query: malware-site.net (Type: A)

Tip Pro: Si el malware usa HTTPS (puerto 443), INetSim generará certificados SSL falsos automáticamente. La víctima podría mostrar una advertencia de "Certificado no confiable", pero la mayoría del malware está programado para ignorar esos errores y seguir adelante.


Esta es la parte más divertida, porque aquí es donde tomas el control total de lo que el malware "cree" que está descargando.

Por defecto, INetSim entrega archivos genéricos (un .exe vacío, una imagen pequeña, etc.). Pero en un análisis real, podrías querer que el malware descargue una herramienta de monitoreo, un script específico o incluso un binario que tú hayas preparado para observar su comportamiento.

Aquí te explico cómo hacerlo paso a paso:

1. Localizar la carpeta de "Fake Files"

INetSim tiene una carpeta donde guarda los archivos que envía cuando alguien hace una petición GET.

La ruta por defecto es:

/var/lib/inetsim/http/fakefiles/

Si haces un ls en esa carpeta, verás archivos como:

  • sample.exe (lo que envía cuando piden un ejecutable)

  • sample.html (lo que envía para páginas web)

  • sample.jpg (lo que envía para imágenes)

2. Configurar una respuesta específica

Imagina que el malware busca siempre un archivo llamado update.bin. Tú puedes decirle a INetSim que, específicamente para esa petición, entregue un archivo que tú elijas.

  1. Edita el archivo de configuración:

    sudo nano /etc/inetsim/inetsim.conf

  2. Busca la sección "HTTP Task-Specific":

    Verás ejemplos comentados. Puedes añadir una línea como esta:

    http_fake_file update.bin /home/kali/Desktop/mi_script_analisis.ps1

  3. Reinicia INetSim para que cargue los cambios:

    sudo systemctl restart inetsim (o detén y vuelve a lanzar el comando inetsim).

3. Modificar los archivos globales

Si quieres que CUALQUIER ejecutable que pida el malware sea reemplazado por uno tuyo:

  1. Copia tu archivo a la carpeta de INetSim:

    sudo cp /ruta/de/tu/archivo.exe /var/lib/inetsim/http/fakefiles/sample.exe

  2. Ahora, cuando el malware intente bajar virus.exe, payload.exe o installer.exe, INetSim le entregará tu archivo renombrado internamente.

4. ¿Cómo saber qué está pidiendo el malware?

Para saber qué nombre de archivo poner en la configuración, recuerda monitorear el tráfico en tiempo real:

Bash
# Ver las peticiones HTTP que entran
tail -f /var/log/inetsim/service.log | grep "HTTP"

Si ves una línea como:

[HTTP] Request: GET /configs/cnc.dat

...ya sabes que debes configurar un "fake file" para cnc.dat.

¿Por qué hacer esto?

  • Engaño (Deception): Puedes entregarle un archivo de configuración falso que apunte a otra IP de tu laboratorio.

  • Análisis de Segunda Etapa: Si el malware es un "downloader", puedes ver cómo reacciona cuando el archivo que descarga no es el que esperaba o es un archivo corrupto.

Location: España

Entradas populares de este blog

Hacking y ciberseguridad en kali linux con Fping

Imagen
  www.onlinetis.com   Hacking y ciberseguridad en kali linux con Fping Fping es un programa similar a ping que utiliza la solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP) para determinar si un host objetivo responde. fping se diferencia de ping en que permite especificar cualquier número de objetivos en la línea de comandos o un archivo con las listas de objetivos a los que se hará ping. En lugar de enviar a un objetivo hasta que se agote el tiempo de espera o responda, fping envía un paquete de ping y pasa al siguiente objetivo mediante un sistema de turnos rotatorios. Como instalar:  sudo apt install fping fping Enviar paquetes ICMP ECHO_REQUEST a los hosts de la red   fping6 Compatibilidad con versiones anteriores de fping anteriores a la versión 4.0 El comando fping en Kali Linux es una utilidad de red que se utiliza para enviar paquetes de ICMP (Protocolo de mensajes de control de Internet) a varios hosts de forma simultánea. A diferen...
LEER MAS »

Hacking y ciberseguridad en kali linux con atk6-thcping6

Imagen
www.onlinetis.com Hacking y ciberseguridad en kali linux con atk6-thcping6 Parece que estás interesado en usar atk6-thcping6 en Kali Linux. Esta herramienta es parte del conjunto de utilidades thc-ipv6 , diseñado para probar las debilidades del protocolo IPv6. Para usar atk6-thcping6 , primero necesitas tener instalado el paquete thc-ipv6 . En la mayoría de las distribuciones de Kali, ya viene preinstalado, pero si no, puedes instalarlo con el siguiente comando: Bash sudo apt install thc-ipv6 Una vez que lo tienes instalado, la sintaxis básica para atk6-thcping6 es: Bash atk6-thcping6 <interface> <target> [opciones] Aquí está el desglose de los argumentos y opciones más comunes: <interface> : La interfaz de red que usarás para enviar el paquete. Por ejemplo, eth0 , wlan0 , etc. <target> : La dirección IPv6 del objetivo al que quieres hacer ping. [opciones] : Puedes usar varias opciones para modificar el comportamiento del ping. La mejor manera de ver todas la...
LEER MAS »

Como utilizar Fierce en kali linux

Imagen
  www.onlinetis.com   Como utilizar Fierce en kali linux Fierce es un escáner semiligero que ayuda a localizar direcciones IP no contiguas y nombres de host en dominios específicos. Está pensado como precursor de nmap, unicornscan, nessus, nikto, etc., ya que todos ellos requieren que se conozca previamente el espacio IP buscado. No realiza exploits ni escanea internet indiscriminadamente. Está diseñado específicamente para localizar objetivos probables tanto dentro como fuera de una red corporativa. Dado que utiliza principalmente DNS, es frecuente encontrar redes mal configuradas que filtran el espacio de direcciones interno. Esto es especialmente útil en malware dirigido. Originalmente escrito por RSnake y otros en http://ha.ckers.org/. Se trata simplemente de una conversión a Python 3 para simplificar y modernizar el código base. Como instalar: sudo apt install fierce Escáner DNS que ayuda a localizar espacios de IP no contiguos y nombres de host contra dominios específico...
LEER MAS »