Ataque de malware vía Drive-by-Download

Uno de los problemas más comunes que sufren la mayoría de los entornos de información, es la mala gestión de las actualizaciones de seguridad, tanto del sistema operativo como de las aplicaciones instaladas. Y, con el mismo nivel de criticidad, uno de los más efectivos ataques que se producen como consecuencia de la falta de actualización, es aquel que se ejecuta vía web, denominado Drive-by-Download.

Este ataque se basa en explotar vulnerabilidades que permitan ejecutar códigos maliciosos a través de la inyección de etiquetas iframe incrustadas en el cuerpo del código HTML, similar al ejemplo que se muestra en la imagen:

La etiqueta iframe se ejecuta en segundo plano y de manera transparente para el usuario abriendo una segunda página que por lo general contiene algún script ofuscado que esconde tras su código uno o varios exploits encargados de buscar en el equipo alguna vulnerabilidad específica. Puede darse el caso que cuando el usuario ingresa a un sitio web malicioso o comprometido con estas amenazas, visualice, por ejemplo, lo que se muestra en la siguiente captura (simplemente una serie de puntos):

Sin embargo, al observar el código fuente de la página, veremos el verdadero código que se esconde de manera maliciosa. Esta técnica de ataque supone un riesgo potencial, ya que si un sistema presenta las características que necesita el ataque, el mismo será exitoso. En consecuencia, la contramedida que mitiga de manera efectiva estas acciones maliciosas, es la implementación de las actualizaciones de seguridad, tanto del sistema operativo como de las aplicaciones. # pistus

Ver más

Desfiguración de sitios web II

Websites defacement two

El defacing puede ser llevado a cabo por diferentes motivaciones. Algunos lo utilizan como recurso de protesta por cuestiones políticas, sociales y/o religiosas, otros ven en ello una manera de ayudar a segurizar el sitio web o servidor o, simplemente, con ánimo de molestar.

Sin embargo, más allá de los diferentes puntos de discusión que puede generar el porqué del defacing, siempre representa una intrusión no autorizada a un sistema de información.

Algunas de las últimas desfiguraciones de sitios web son:

Websites defacement one

Desfiguración histórica

Defacing realizado por un grupo de Brasil al Ministerio de Desarrollo Sostenible y Panificación de Bolivia, actual Ministerios de Planificación del Desarrollo el 23 de diciembre del año 2000.

# pistus

Ver más

Seguridad "electrónica " y propagación de malware

Cada vez son más los casos que se conocen sobre infecciones, o potenciales infecciones, a través de dispositivos electrónicos. El último caso conocido, que he comentado en malware preinstalado, ha desatado un interesante debate que me recuerda a una linda anécdota sobre este tema.

Al finalizar una charla sobre Seguridad Antivirus en la cual expliqué en qué se basa la Ingeniería Social y cómo se propagan los gusanos a través de un archivo de texto plano llamado Autorun.inf (no es un malware, simplemente aprovecha la funcionalidad de ejecución automática de Windows), uno de los asistentes me solicitó uno de los programas que había utilizado durante la charla, con lo cual lo copié en una memoria USB y se la pasé, pero esta persona, atento, me dijo: no, no quiero conectar esa memoria en mi equipo ya que puede estar infectada y mi equipo terminará infectado. Aunque la memoria estaba limpia, eso era correcto.

Bueno, dije entonces, "te lo copio en otro soporte"; y copié el mismo archivo en un iPod. La persona quedó conforme y conectó el iPod en su equipo sin tener en cuenta que no estaba haciendo otra cosa que acceder a un dispositivo de almacenamiento que también es susceptible a alojar código dañino.

Los dispositivos de almacenamiento extraíble que se conectan a través del puerto USB poseen un alto porcentaje de eficacia en la diseminación de códigos maliciosos, es decir, no hablamos sólo de memorias USB, hablamos también de iPod, reproductores mp3, mp4, cámaras fotográficas, filmadoras, teléfonos celulares, marcos fotográficos digitales, y cualquier dispositivo que tenga interacción con la PC.

Desde el punto de vista económico, en muchos países se consigue cualquiera de estos dispositivos a un bajo costo, sin embargo, esto supone un riesgo extra debido al poco control que se deposita en el proceso de fabricación de esos dispositivos, y el control de calidad cuando sale a la venta, pudiendo resultar potenciales canales de infección, incluso, a través del CD que acompaña al dispositivo.

En alguna parte leí la recomendación de comprar productos de empresas reconocidas, sin embargo, tampoco es una garantía y, casos como el de Samsung lo demuestran. Como verán, absolutamente nada es seguro, pero si es seguro implementar mecanismos que nos permitan mitigar este tipo de problemas, p.e. mantener actualizado y activo un programa antivirus.

Algunos antecedentes de infección durante el 2008 a través de diferentes dispositivos que se pueden destacar son:

Samsung SPF-85H 8-Inch Digital Photo Frame
Mercury 1.5" Digital Photo Frame
Hewlett-Packard USB Drives 256K / 1GB
Insignia 10.4" NS-DPF10A Digital Photo Frame

No es para alarmarse, pero si para estar atentos :-)

# Pistus

Ver más

Manual de seguridad de Google para Navegadores

Google ha publicado un interesante Manual de seguridad para navegadores, escrito y mantenido por Michal Zalewski, el polaco que reveló muchas de las vulnerabilidades encontradas en el navegador Firefox y autor de un interesante libro llamado Silence on the Wire.

Esta documentación provee información muy útil sobre la seguridad de las aplicaciones web, explicando aspectos de seguridad no sólo de Google Chrome sino también de la mayoría de los navegadores más conocido, precisamente sobre Internet Explorer (versiones 6 y 7), Firefox (versiones 2 y 3), Apple Safari y Opera.

Ya que hablamos de seguridad en los navegadores, también, pueden conocer una PoC sobre la vulnerabilidad en la librería "chrome.dll" que afectaba a la versión 0.2.149.27 del navegador de Google, descubierta por la comunidad EvilFinger.

# pistus

Ver más

Anatomía del exploit MS08-078 by FireEye

Luego de darme una vuelta por un conocido foro de seguridad e intentar colaborar con el tópico que se refiere al problema ocasionado por el gusano conficker que se propaga a través de una vulnerabilidad solucionada en el boletín MS08-067, que como ustedes saben, son poco los programas antivirus que eliminan la amenaza de manera efectiva.

Me colgué leyendo un artículo de la empresa FireEye que trata sobre otra vulnerabilidad, muy conocida y solucionada en boletín MS08-078, activamente explotada por alguna familia de gusanos y troyanos, por lo que me gustaría compartir las apreciaciones que surgen de lo escrito por esta empresa en su blog.

Lo que se plantea en primera instancia, es la incógnita de saber qué sucede en el navegador web cuando un usuario accede a una página que contiene el exploit para esta vulnerabilidad. En la URL que se tomó como ejemplo, se ve el empleo de ofuscación como método para evitar la detección del script malicioso, escrito en JavaScript, que se encuentra incrustado en el código.

En JavaScript presenta dos segmentos separados y bien diferenciados de los cuales, el primero de ellos muestra un VBScript sin codificar:

Mientras que el segundo, posee nuevamente una codificación que busca dejar ilegible el código real:

Pero en definitiva, cuál es la carga útil de este tipo de script, es decir, qué sucede en el preciso momento que el exploit detecta la vulnerabilidad. Básicamente, el exploit se encarga de descargar y ejecutar un código malicioso en el equipo víctima.

Pero antes de ejecutarlo, se realiza dos copias de sí mismo, una en la carpeta C:\WINDOWS (quit.exe) y la otra en los temporales del usuario local (svchoost.exe). Ejecutándose luego, en primera instancia, manera automática el binario svchoost.exe.

Luego, el archivo svchoost.exe se autoelimina y se establece una conexión a través del puerto 53 para descarga otros archivos maliciosos (200512.exe).

Entre el malware que descarga a posterior se encuentran, un keylogger, un backdoor y un malware creado para robar contraseñas de juegos en línea.

Además, crea la clave necesaria en el registro que le permite ejecutarse cada vez que inicia el sistema operativo.

Como verán, las acciones que realiza este malware son bastantes complejas en su conjunto, captura las pulsaciones del teclado, roba contraseñas, abre puertas traseras y convierte al equipo en parte de una botnet. Todo se lleva a cabo de manera casi instantánea y de manera transparente para el usuario.

La URL que se utilizó para describir el exploit todavía se encuentra activa. Pueden ver el reporte de VirusTotal que muestra el estado de detección del malware hasta el momento.

Estas técnicas son muy utilizadas por el malware para explotar vulnerabilidades vía web. Muchos son los casos que se pueden nombrar que utilizan Drive-by-Download para infectar a los usuarios cuyo sistema posee la vulnerabilidad, nada más ni nada menos, con el sólo hecho de acceder a la página con contenido malicioso.

# pistus

Ver más