Español | English
rss facebook linkedin Twitter

Drive-by ejemplo

El ataque de descargas inadvertidas más conocido como "drive-by downloads" ya se comentó en nuestro blog en cuanto a su funcionamiento. Pero nunca está de más realizar una pequeña aproximación para comprobar que realizan estos ataques en nuestros equipos.

Las técnicas actuales para distribuir malware se pueden dividir en dos categorías principales:
  1. Técnicas de ingeniería social: usadas por los atacantes para que el usuario se descargue y ejecute el malware. Todos hemos visto páginas con dudosos métodos de análisis informándonos de que nuestro equipo está plagado de virus y necesitamos descargarnos un soft{mal}ware para dejar nuestro equipo más limpio que el cuello de un sacerdote.
  2. Aprovechamiento de vulnerabilidades del navegador: Es el método más enrevesado y totalmente transparente para nosotros los usuarios. También es el método de infección más común tal y como se muestra en el gráfico de abajo. Consultad el paper "All your iFRAMEs point to us" para más detalles de cómo funcionan y la infraestructura que lo sustenta.



Según el informe "Digital World, Digital Life", pasamos un 30% de nuestro tiempo libre navegando por internet. Imaginad una situación corriente, navegando por nuestro portal favorito de noticias, pulsamos sobre ese enlace que nos lleva a la fuente original, ahora este otro para ver comentarios y así sucesivamente hasta terminar con decenas de páginas visitadas. Una de estas tantas páginas que hemos visitado apenas unos segundos, nos ha dejado un regalito MADE IN LOS MALOS.

Lo que ahora mostramos es un pequeño ejemplo real de lo que paso en nuestro equipo "controlado" simplemente por visitar una web que contenía un ataque de este tipo y sin realizar ninguna acción por nuestra parte, apenas estuvimos visitándola durante 30 segundos y esto es lo que nos hizo:

1. El proceso iexplore.exe creó el binario C:\WINDOWS\Temp\svhost32.exe
2. Este binario se encargó de modificar varias entradas del registro para:
Deshabilitar la cache: "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache"
Deshabilitar cookies: "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies"
Deshabilitar historial: "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History"
Habilita la navegación por proxy: "SetValueKey","HKLM\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable"
Configurar un proxy: "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer"
Y crear el fichero: "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5 \1YMCNUWN\hosts[1].txt"
3. No contento con todo esto también se creo el binario c:\i1gb0a.exe que a su vez se encargó de crear otro binario sdra64.exe con otras pretensiones.


Todo lo anterior se creó en nuestro S.O sin nuestro consentimiento ni conocimiento. El análisis de la secuencia total de lo ocurrido así como de los archivos, conexiones y binarios creados conlleva un esfuerzo de horas de trabajo fuera del alcance de este post.

El objetivo de este post es concienciar a las 2 principales víctimas sobre la existencia de este tipo de ataques; nosotros los usuarios y a los responsables de las webs que sin percatarse de ello favorecen la difusión de este tipo de contenido malicioso.

Cómo ya comentó Elvira en el post "Drive-by downloads" el dejar de visitar sitios de contenido para adultos apenas disminuye las posibilidades de sufrir uno de estos ataques. Cualquier web del estilo que sea puede contenerlo. Uno de los consejos que suele funcionar es navegar con software totalmente actualizado para que estas webs no se puedan aprovechar de una vulnerabilidad de nuestro navegador o alguno de sus plugins, principales vectores de entrada de estos ataques.

En cuanto a los responsables de sitios web, vigilad el código de vuestros sitios, especialmente los iFRAMES, y los logs y estadísticas de tráfico son una buena fuente para busar patrones sospechosos de que algo ocurre antes de que nos denuncien por colaborar con nuestra web en la difusión de contenido malicioso o peor aún, ensuciar nuestra imagen de confianza.

Emilio Casbas
S21sec e-crime

4 comentarios:

David dijo...

Parece increíble que se te pueda instalar algo sin tu consentimiento.

Estaría bien que nos comentarais como os dais cuenta de que se os ha bajado algo y como lo analizáis, para que nosotros también echemos horas investigando xD

Anónimo dijo...

muy interesante el ejemplo!

S21sec e-crime dijo...

David, en un post anterior, nuestro compañero Iñaki ya comentó la tecnología usada para estos análisis y dejo una buena colección de enlaces para investigar.
Pero cuidado, lee antes el último párrafo. :D
http://blog.s21sec.com/2009/03/honeyclient-aka-ir-buscarla.html

David dijo...

Muchas gracias, espero no tener que llamar a los bomberos xD


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login