Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 27 de septiembre de 2007

EJECUCIÓN TRANSPARENTE DE CÓDIGOS MALICIOSOS II

Ayer, luego de terminar de escribir este post, me quedé con la sensación de que algo me faltó contarles como para terminar de ejemplificar el tipo de técnica que estaba comentando.

Entonces, para reforzar el concepto, veamos otro ejemplo de cómo se conjugan Ingeniería Social, troyanos, script maliciosos, exploit y demás amenazas bajo una misma infección.

En el post anterior comentaba que es latente la posibilidad de infección con el sólo hecho de ingresar a un sitio web a través de script ofuscados y embebidos en el código HTML de la página, lo que se conoce con el nombre de drive-for-download.

Ahora, en este ejemplo, se muestra otra metodología utilizada para obtener el mismo resultado sin levantar sospechas, me refiero, a lograr la infección sin que el usuario se dé cuenta que ha sido infectado. Veámoslo de forma comentada.

El escenario podría ser el siguiente: nos llega por correo electrónico una invitación para participar, en forma online, de un evento sobre el lanzamiento de la nueva versión del famoso juego de Microsoft Halo. En el cuerpo del mensaje tenemos un enlace donde debemos hacer clic para poder registrarnos y así participar del mismo.

Ingenioso el cuento ¿no?

Ok, al hacer clic sobre el enlace, nos aparece la página “500 Internal Server error” que nos indica un supuesto error interno del servidor. En este punto, un usuario sin demasiados conocimientos procedería a cerrar directamente la página, ya que “evidentemente” no esta disponible.

Pero si miramos el código fuente de la página web nos encontramos con bastante código escrito, la leyenda de supuesto error del servidor y un condimento “especial”, una etiqueta "iframe".

Supuesto error y etiqueta iframe"

Este condimento “especial” es un tag (etiqueta) que permite crear un frame (marco) interno en el código HTML. Esto quiere decir que dentro de una página web, podemos encontrar, gracias a la etiqueta "iframe", otra página web (code injection).

Esta característica del lenguaje HTML aplicada con malas intenciones, permite la ejecución subrepticia de códigos maliciosos, ya que, continuando con el ejemplo, el iframe abre internamente otra página. Veamos a dónde nos lleva.

Script ofuscado

Concluimos con un script ofuscado. Es decir, en el momento que nos presentó el supuesto error del servidor, en forma paralela se estaban ejecutando las instrucciones contenidas en el script.

Y si no tenemos nuestro sistema y aplicaciones con las últimas actualizaciones, estamos obligados a presenciar el nacimiento de un nuevo usuario infectado.

Jorge.

Fuente: http://blogs.eset-la.com/laboratorio

Ver más

EJECUCIÓN TRANSPARENTE DE CÓDIGOS MALICIOSOS

Numerosos tipos de códigos maliciosos poseen la capacidad de infectar un equipo informático con el solo hecho de visitar una página web. Si señor, con la simple acción de visitar un sitio en Internet, es posible que creadores de malware comprometan nuestra computadora con alguna de sus creaciones.

Pero… ¿cómo puede ser posible? Bueno, los programadores malintencionados buscan constantemente desarrollar técnicas que permitan evadir las aplicaciones de seguridad o por lo menos, dificultar su análisis y detección.

Tal vez, muchos lectores hayan notado en más de una oportunidad que cuando ingresan a determinadas páginas web, estas tardan en cargarse y vemos que la barra de progreso se “estanca” en la mitad de la carga. Esto puede ser un indicio de que, en ese preciso momento, nuestra computadora estaría siendo víctima de un intento de infección.

Este tipo de páginas contienen dentro del código HTML un script malicioso que se encarga de descargar (e incluso ejecutar), por lo general, un troyano. Este script generalmente se encuentra “protegido” con una técnica que recibe el nombre de ofuscación.

Con esta técnica, se busca dificultar al máximo la lectura y/o análisis del código haciendo que sea lo más ilegible posible. En la siguiente captura podemos observar un ejemplo de cómo se ve un código ofuscado dentro de una página web.

Script ofuscado

En la imagen podemos apreciar que se utilizaron dos lenguajes para crear el script: JavaScript y VBScript. Además, también se observan los archivos ejecutables (el malware) que se copia y ejecuta respectivamente al momento de ingresar a una página que contiene inyectado este código ofuscado.

Se pueden encontrar codificados con diferentes metodologías pero básicamente se lo ve más o menos de la misma manera. Aquí tienen otro ejemplo:

Otro ejemplo de script ofuscado

La idea de dificultar el análisis de debe a que a través del ofuscamiento se esconde generalmente un exploit que aprovecha alguna vulnerabilidad de nuestro sistema operativo o aplicación instalada. De aquí la importancia de mantener al día las actualizaciones de nuestro equipo y antivirus.

Estos casos conforman buenos ejemplos para que dejemos de hacer clic, por ejemplo, sobre los enlaces que nos llegan a través de programas de mensajería instantánea o a través del correo electrónico no deseado.

Después de esta lectura ¿quedará algún lector sin actualizar su sistema operativo?

El éxito de este tipo de técnicas, depende en gran medida de nosotros, los usuarios. Somos nosotros mismos una especie de gran antivirus que, al igual que este tipo de programas, en la medida en que no nos mantengamos actualizados e informados, estaremos facilitando la entrada de estas amenazas a nuestro sistema.

Jorge

Fuente: http://blogs.eset-la.com/laboratorio

Ver más

PWNPRESS: LA PESADILLA DE WORDPRESS

Si es importante actualizar las aplicaciones de escritorio cuando aparecen nuevas versiones, aun lo es más hacerlo con las aplicaciones web que estemos usando, ya que están accesibles para cualquier usuario de internet. Wordpress es una de esas aplicaciones con las que deberemos tener especial cuidado.

Últimamente, se han encontrado diversos fallos de seguridad en las versiones más recientes de Wordpress, que han obligado a los desarrolladores a lanzar actualizaciones. Pero estas actualizaciones no sirven de nada si no las instalamos en el servidor y nos mantenemos con la última versión.

Tal vez herramientas como pwnpress nos hagan más conscientes del riesgo de no usar versiones actualizadas de Wordpress. Con pwnpress es realmente sencillo atacar un sitio que tenga instalado Wordpress, ya sea desde la linea de comandos o, facilitando más aun la tarea, a través de una interfaz gráfica.

Para ejecutarlo solo es necesario tener instalado el lenguaje Ruby. La aplicación detecta automáticamente la versión de Wordpress instalada en el servidor especificado y lanza el ataque adecuado, que nos permitirá obtener credenciales para acceder al blog.

Una herramienta peligrosa pero que debería concienciarnos sobre la necesidad de estar actualizados.

Fuente: http://www.genbeta.com

Ver más