El objetivo de este artículo es desmitificar esta frase y verificar que realmente esto no es así. Lamentablemente, el solo hecho de ingresar a un sitio web ya es suficiente para terminar infectado.
Frases e Ingredientes
En seguridad antivirus es común encontrar frases como la mencionada, que luego el tiempo y los creadores de malware, se encargan de tirar por tierra. A modo de ejemplo se puede citar:
-“No hay códigos maliciosos para otros sistemas operativos distintos de Windows”. Existen PoC (Pruebas de Concepto) para cualquier sistema operativo existente, incluso algunos que funcionan en más de una plataforma.
-“No se pueden infectar dispositivos”. Actualmente existen amenazas o PoC capaces de infectar casi cualquier dispositivo electrónico que disponga de software instalado.
-“No descargues correos de personas desconocidas”. Debido a que la mayoría del malware/spam actual tiene la capacidad de falsear la dirección de origen del correo (e-mail spoofing) esa frase ha mutado a “no descargues nada que no hayas solicitado (conocidos o desconocidos)”.
-“No es posible infectarse con la lectura de un correo”. En 1999, el gusano Bubleboy aprovechando una vulnerabilidad de Internet Explorer y Outlook Express probó que esto es falso. A partir de ese momento han acontecido otros casos.
-“No es posible infectar sitios web”. La realidad demuestra que gran cantidad de malware actual es propagado masivamente por este medio.
Esta última frase es la que da origen al siguiente recorrido por las principales formas de infectar usuarios sin su intervención y sin que los mismos perciban alguna acción como sospechosa.
Para lograr una infección se necesitan los siguientes ingredientes:
- Un delincuente: disponible en la vida real
- Un usuario que no actualiza su sistema: lamentablemente demasiados
- Un servidor web o un hosting mal administrado: lamentablemente demasiados
- Códigos dañinos: disponibles en Internet gratis o de pago
Casos recientes
Recientemente los casos de toolkits de infección como MPack, Dream System (ambos del mismo autor sash), Zunker, DKCS FTP-Toolz han abierto la caja de Pandora sobre este tipo de infecciones, las cuales no son originales y se vienen utilizando desde hace tiempo por los diseminadores de malware. Lo que hace singular a estos casos es la masificación lograda por las infecciones a través de hostings vulnerables.
La forma de funcionamiento e infección es relativamente sencilla, pero requiere un elemento generalmente poco considerado: vulnerar un servidor web que aloje cientos o miles de sitios.
Gráficamente:
Imagen 1: Ataques a hosting
- Un atacante logra acceso a un hosting más o menos popular que aloja sitios web. Este ingreso generalmente se debe a vulnerabilidades en el software instalado en el servidor (sistema operativo, herramientas de administración, programas de control remoto, etc), la incorrecta administración de los servidores web y a prácticas de seguridad deficientes por parte de los administradores.
- Una vez dentro, se modifican las páginas web de todos los sitios alojados. Esta modificación es masiva y consiste en incluir un pequeño trozo de código que hace referencia a la descarga del malware propiamente dicho.
- Los usuarios visitan las páginas web ignorando que el sitio ha sido modificado
- Los usuarios son infectados con diversos tipos de malware. Esta infección ocurre debido a que generalmente se aprovechan diversas vulnerabilidades del navegador o sistema operativo del usuario.
En el caso particular de Mpack, el kit se vende en foros underground de Rusia y facilita la creación de una infraestructura web para infectar automáticamente a los usuarios que visitan los sitios web atacados, aprovechando diversas vulnerabilidades, según se explica en el gráfico anterior.
A modo ilustrativo este tipo de paquetes suele rondar los U$S $1.000 y cuenta con administración para controlar y llevar estadísticas sobre las infecciones realizadas. El paquete se ofrece como si se tratara de un software legal, con servicio de soporte incluido y actualizaciones para el mismo.
Imagen 2: Captura de sitio ruso donde se comercializa el MPack
Funcionamiento
Suponiendo que se cuente con un sitio web con código malicioso, ¿cómo se infecta el usuario? Existen 2 formas básicas:
- Se engaña al usuario para que el mismo descargue una aplicación y
Este caso es muy explotado con las postales en donde se intenta convencer al usuario para que descargue un archivo, el cual es la amenaza propiamente dicha.
En este caso, los archivos dañinos se han almacenado en un servidor gratuito o que ha sido vulnerado para este fin. Generalmente, sólo se almacenan los archivos dañinos.
Imagen 3: Postal falsa desde donde se descarga malware
- El simple hecho de ingresar a un sitio web cualquiera (legítimos, conocidos o no por el usuario) es suficiente para que el sistema resulte infectado sin que el usuario haya realizado acción alguna. A continuación se analiza en profundidad este caso.
Paso a paso
El proceso consiste en atacar las vulnerabilidades que pudieran contener las aplicaciones utilizadas por el usuario, principalmente el cliente de correo, compresores, reproductores de video (como Windows MediaPlayer o Apple Quicktime), el cliente de mensajería instantánea, el navegador web o cualquier otra que pueda tener vulnerabilidades.
Como alternativa el usuario puede ser invitado a ingresar al sitio web afectado por medio de un correo electrónico enviado masivamente (spam) o mediante la creación de sitios con nombre de dominio semejante al real: por ejemplo: “hoogle.com”, en donde la proximidad de la “g” y la “h” en el teclado puede llevar a errores de tipeo y al ingreso (no deseado) al sitio falso.
Ingresar al sitio web es la única acción que realizará el usuario y a partir de este momento la página web, previamente modificada, se hará cargo de la infección del usuario, si que el mismo se percate de lo sucedido, utilizando las antes mencionadas vulnerabilidades.
A continuación se analizan casos que cumplen con las condiciones de infección sin que el usuario haga clic en ningún sitio: sólo es suficiente que el mismo ingrese al sitio afectado.
El primer caso consiste en agregar a la página web un código (script) que permite descargar y ejecutar el software dañino en el equipo del usuario, sin aprovechar vulnerabilidades conocidas de las aplicaciones y valiéndose de herramientas legales del sistema.
Para esto es muy común el uso de objetos propios del sistema operativo como ser ActiveX o Applets de Java. A continuación puede verse un ejemplo de un código de VBScript que realiza la descarga y ejecución automática de un archivo.
Imagen 4: Descarga y ejecución de malware a través de scripts
Este caso en particular sólo funciona en el navegador Internet Explorer y se informará al usuario de que se está por ejecutar un código para que el mismo lo permita: el usuario debe autorizar la ejecución del código:
Imagen 5: Solicitud de ejecución al usuario por parte de Internet Explorer
En este caso la infección posterior dependerá exclusivamente de este permiso. Por supuesto existen casos para otros navegadores web conocidos.
El segundo caso, consiste en explotar vulnerabilidades conocidas en una aplicación del usuario.
En este ámbito, un caso reciente (mayo 2007) y digno de destacar, hace referencia a la explotación de código a través de un cliente de mensajería instantánea (Yahoo Messenger). Esto se logra si el mensajero es utilizado a través del navegador web con el ActiveX relacionado.
El código fuente de la página web dañina tiene el siguiente aspecto:
Imagen 6: Explotación de código a través de la mensajería
La descarga y ejecución de código a través de vulnerabilidades -que pueden ser recientes o de antiguo conocimiento público- es el “último grito de la moda” para los delincuentes iniciados en este tema.
Aquí radica la importancia de actualizar el software del sistema cada vez que se conozca una vulnerabilidad crítica que puede ser explotada por los diseminadores de código dañino.
Esta explotación de vulnerabilidades puede realizarse de tres formas distintas pero semejantes:
- La inclusión directa del código ejecutable (scripts) en la página web. Estos suelen ser de fácil lectura para aquellas personas que comprenden los lenguajes de programación utilizados (VBScript y JavaScript):
Imagen 7: Ejecución de código no ofuscado
- La inclusión del mismo código fuente, pero modificado de modo que dificulte su identificación y lectura. En esta imagen se aprecia el mismo código anterior pero ofuscado:
Imagen 8: Código dañino ofuscado
En esta imagen es importante destacar dos puntos:
-El código fuente se encuentra ofuscado para dificultar su lectura y cualquier usuario efectivamente no será capaz de apreciar nada dañino en él.
-El autor menciona que el código de ofuscamiento es libre, por lo que cualquier usuario con buenas o malas intenciones puede utilizarlo.
- La inclusión del mismo código cifrado por algún método más o menos complejo que generalmente es creado por el mismo creador del malware o que es hallado libremente en sitios web.
Imagen 9: Código dañino cifrado
En los dos últimos casos es sencillo apreciar que estas acciones se realizan para dificultar el análisis del código dañino por parte del usuario y por parte de los analistas de malware en los laboratorios antivirus.
Tercero, y por último el caso más común es la inclusión de una línea de código html (generalmente una etiqueta iframe invisible) en las páginas afectadas. Esta línea tiene como objetivo la descarga de código malicioso desde otros sitios web.
Si se analiza uno de los kits para realizar estas acciones masivamente se puede encontrar códigos como el siguiente:
Imagen 10: Código PHP responsable de modificar páginas de inicio
Cuyo resultado es la modificación de la página de inicio del sitio como se ve a continuación:
Imagen 11: Inclusión de código HTML
Esta técnica tiene como ventaja que el atacante debe mantener el código dañino actualizado en un solo lugar: el sitio adonde hace referencia la etiqueta iframe.
Esta técnica fue ampliamente utilizada para el caso de los archivos ANI vulnerables y actualmente es usada por los creadores de malware más activos del mercado.
Una vez agregado el código dañino a la página objeto de la modificación, los delincuentes sólo deben esperar que un usuario con su sistema desactualizado ingrese al sitio web y se infecte, como se explica en la siguiente infografía.
MPack, por ejemplo utiliza esta técnica pero con la diferencia fundamental de que este kit recopila decenas de vulnerabilidades y es capaz de determinar cuales pueden funcionar en el sistema del usuario para lograr instalar el malware en el equipo.
Nuevamente en forma gráfica el ataque a usuarios finales por este medio es el siguiente:
Imagen 12: Funcionamiento del ataque
- El atacante ingresa a un sitio web (o hosting) como ya se ha descrito y lo modifica agregando el código necesario.
- El usuario, que tiene alguna vulnerabilidad en sus aplicaciones y no mantiene actualizado su sistema, ingresa al sitio afectado, desconociendo la situación
- El usuario navega normalmente por el sitio mientras este último, a través de las modificaciones realizadas se conecta a otro servidor con los códigos dañinos.
- Desde este servidor se prueban distintos exploits y vulnerabilidades en el sistema del usuario. Si se encuentra algún agujero se procede a infectar al usuario con malware.
- El servidor además graba estadísticas de infecciones.
- El atacante ingresa a las estadísticas para realizar el seguimiento de su trabajo.
Protección
El uso de estas herramientas automáticas de infección pone a disponibilidad de cualquiera poder realizar ataques con programas dañinos, por lo que se debe combatir estas amenazas desde tres fuertes principales, cada uno más importante que el anterior:
- Todas estas herramientas hacen uso de vulnerabilidades conocidas desde hace tiempo y para el cual existen soluciones. El usuario debe mantener actualizado su sistema operativo y las aplicaciones que normalmente utiliza, como ser navegador, compresores, mensajeros, reproductores de audio y video, etc.
- El malware descargado por estos paquetes cambia continuamente, pero la gran mayoría de ellos es detectado por los programas antivirus o bien por técnicas heurísticas como las presentes en ESET NOD32. El usuario debe utilizar un antivirus actualizado y con capacidad de detección proactiva, así como también un firewall.
- La educación en seguridad y conocer este tipo de ataques son fundamentales ya que como se pudo ver los mismos no se basan en acciones del usuario (como un clic) sino en el conocimiento del sistema, sus fortalezas y sus debilidades.
Conclusiones
Como es fácil apreciar, las alternativas a esta forma de trabajo son variadas pero todas apuntan al mismo objetivo: infectar al usuario con algún malware. Este último es el encargado de robar datos para que posteriormente el atacante pueda realizar estafas con los datos obtenidos.
El crimen organizado que trabaja a través de Internet se profesionaliza y perfecciona continuamente. Las técnicas utilizadas no son modernas ni se han descubierto recientemente, pero su disponibilidad libre (o por unos pocos dólares) hace que mayor cantidad de delincuentes recién iniciados comiencen a utilizarlas, haciendo masivos los ataques y por ende los responsables de seguridad debemos estar atentos ante este tipo de amenazas.
Así también, los usuarios somos responsables ante nuestros sistemas por lo que educarse, actualizarse y protegerse pasan a ser tres ejes fundamentales para navegar seguros.
Autor: Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica
Información provista por ESET Latinoamérica
www.eset-la.com
Copyright © ESET, LLC. Este artículo se encuentra bajo licencia Creative Commons de Atribución, No Comercial y Compartir Obras Derivadas Igual. (by-nc-sa).
No hay comentarios:
Publicar un comentario