Español | English
rss facebook linkedin Twitter

Exploit de IE7 aprovechado para infección masiva

Desde que se hizo público el exploit para Internet Explorer 7 (curiosamente el día después de la actualización mensual de seguridad de Microsoft), ya ha empezado a usarse para la infección masiva de usuarios.

En concreto, hemos detectado una nueva campaña de infección masiva de servidores web mediante la técnica de inyección SQL indiscriminada, apuntando a sitios web con tecnología ASP, igual que ya ocurriera en otras ocasiones durante este mismo año. El hecho de buscar este tipo de páginas no es porque exista alguna vulnerabilidad concreta ni contra ASP ni contra SQL Server, pero el script malicioso que se intenta inyectar en la base de datos está especialmente preparado para SQL Server. El ataque parece ser de origen asiático.

El ataque es totalmente indiscriminado. Se realiza una búsqueda a través de ICQ.com y se comienza el intento de infección para ejecutar el siguiente script en la base de datos:

DECLARE @T VARCHAR(255),@C VARCHAR(255)

DECLARE Table_Cursor CURSOR FOR
SELECT a.name,b.name
FROM sysobjects a,syscolumns b
WHERE a.id=b.id AND a.xtype='u' AND
(b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)

OPEN Table_Cursor FETCH NEXT
FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN EXEC(
'UPDATE ['+@T+'] SET
['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''''')
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor

De este modo, se intenta insertar código que apunte a un sitio malicioso en la página web infectada. Los usuarios que la visiten serán redirigidos mediante una cadena de servidores maliciosos hasta llegar al servidor que intenta la infección final, y aquí es donde entra en juego el exploit de Internet Explorer 7. En este punto se intenta infectar la máquina del usuario final mediante diversos exploits: para Internet Explorer 7, para Office, para Adobe Acrobat Reader y para la vulnerabilidad MS06014.

Una vez el usuario se infecta, se instala un troyano downloader genérico que accede un archivo de texto en un servidor malicioso para descargar más malware. También se infecta con un troyano tipo gamer (robo de datos relacionados con juegos online). Pero la gran novedad de este ataque es que el último troyano que se instala en el equipo infectado es el encargado de realizar el ataque de inyección SQL masivo.

Por lo tanto, esta campaña se diferencia de todas las anteriores en que el ataque no procede de una herramienta instalada en una serie de servidores concretos, sino que todos los usuarios infectados intentan realizar la infección masiva, haciendo mucho más difícil la erradicación del mismo.

Las recomendaciones son las mismas que en casos anteriores: asegurar que los aplicativos no son vulnerables a inyección SQL y filtrar mediante IPSs o similares cualquier intento de inyección a partir de la firma del ataque que se muestra a continuación:

dEcLaRe @S VaRcHaR(4000) SeT @s=cAsT(0x4445434C415245204054205641524348

Se trata de una captura parcial del envío que realiza el troyano para la infección, pero debería ser útil para detectar intentos de infección y realizar un filtrado adecuado.

Vicente Díaz
S21sec e-crime

1 comentario:

Anónimo dijo...

Queridos amigos: no se muy bien que hacer en este caso. así que os pido información. He descubierto una página que se dedica a enseñar a programar Malware para estafar a la gente. El problema es que dicha página no esta radicada en España si no en Argentina. Concretamente TroyanosYvirus.com.ar. Ruego por favor que alguno de vosotros si podeis haga algo. y no se que hacer.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login