En el cuarto trimestre de 2009 aproximádamente 5.5 millones de páginas web contenían software diseñado para realizar instalaciones sin necesidad de la intervención del usuario (fuente). Este tipo de ataques, a.k.a drive-by downloads, hace tiempo eran comunes en sitios de dudoso contenido, pero en la actualidad, la tendencia es encontrarlos en todo tipo de sitios web legítimos, ya sea directamente o bien, a través de terceros como banners publicitarios.
Existen servicios WebMalware avanzados, orientados a empresa e instituciones, con el objetivo de detectarlos y poner solución a estas amenazas antes de que realicen una infección másiva a los visitantes de estos sitios web. Qualys recientemente ha publicado una BETA pública con limitaciones para su uso.
Por otra parte, existen herramientas gratuitas con el mismo objetivo pero destinadas al usuario final, ya que únicamente permiten realizar el análisis de una url, sin posibilidad de crawling, ni otras características. Algunos de estos servicios van desde la simple comprobación de la URL en listas negras, hasta el uso de honeypots de alta interacción para el análisis de comportamiento. Ante la heterogeneidad de este tipo de ataques, decidimos probar algunos de estos servicios gratuitos en busca de comportamientos ante diferentes tipos de URLs.
Los servicios gratuitos de análisis de URLs probados fueron:
- Web of Trust: Comprueba la reputación de un sitio web y advierte de sitios web peligrosos.
- Unmask parasites: Miles de propietarios de sitios web no son conscientes de que sus sitios han sido infectados con parásitos.
- Trend Micro web reputation: Comprueba la reputación de un sitio web.
- Norton safe web: Muestra la reputación del sitio.
- Finjan URL analisis: Analiza la URL en tiempo real en busca de amenazas.
- F-Secure browsing protection: Muestra la reputación del sitio.
- AVG linkscanner drop zone: Analiza la URL en tiempo real en busca de amenazas.
- Wepawet: Servicio para detectar y analizar malware basado en web.
- URLs maliciosas activas
- URLs maliciosas activas en el pasado pero que ya no existen (inactivas)
- URLs maliciosas escondidas a través de servicios acortadores de URLs
- URLs benignas con javascript sospechoso antes de una redirección
- URLs benignas con javascript sospechoso después de una redirección
- URLs inexistentes
- URLs benignas
(Código malicioso drive-by download)Para simplificar el análisis, mostramos cada servicio con el comportamiento ante cada tipo de URL. Mostramos únicamente un resumen representativo del resultado de dicho análisis:
WEB OF TRUST
- URLs maliciosas activas: Contenido malintencionado, virús.
- URLs maliciosas activas en el pasado pero que ya no existen: Contenido malintencionado, virús, infracción en navegador, spyware.
- URLs malignas escondidas a través de servicios acortadores de URLs: Sitio de confianza
- URLs benignas con javascript sospechoso antes de una redirección: No muestra nada
- URLs benignas con javascript sospechoso después de una redirección: No muestra nada
- URLs inexistentes: No muestra nada
- URLs benignas: Sitio de confianza
- URLs maliciosas activas: URL sospechosa.
- URLs maliciosas activas en el pasado pero que ya no existen: Error.
- URLs malignas escondidas a través de servicios acortadores de URLs: URL sospechosa
- URLs benignas con javascript sospechoso antes de una redirección: URL sospechosa
- URLs benignas con javascript sospechoso después de una redirección: URL limpia
- URLs inexistentes: Error
- URLs benignas: URL limpia
- URLs maliciosas activas: URL maliciosa.
- URLs maliciosas activas en el pasado pero que ya no existen: URL maliciosa.
- URLs malignas escondidas a través de servicios acortadores de URLs: No maliciosa
- URLs benignas con javascript sospechoso antes de una redirección: No maliciosa
- URLs benignas con javascript sospechoso después de una redirección: No maliciosa
- URLs inexistentes: No maliciosa
- URLs benignas: No maliciosa
- URLs maliciosas activas: 7 amenazas encontradas. Clasificación del tipo de amenazas.
- URLs maliciosas activas en el pasado pero que ya no existen: Sitio seguro
- URLs malignas escondidas a través de servicios acortadores de URLs: Sitio seguro
- URLs benignas con javascript sospechoso antes de una redirección: No comprobado
- URLs benignas con javascript sospechoso después de una redirección: No comprobado
- URLs inexistentes: No comprobado
- URLs benignas: Sitio seguro.
- URLs maliciosas activas: URL bloqueada, virus detectado. Informa de la familia del malware.
- URLs maliciosas activas en el pasado pero que ya no existen: URL bloqueada. Informa de la familia del malware
- URLs malignas escondidas a través de servicios acortadores de URLs: URL bloqueada. Informa de la familia del malware
- URLs benignas con javascript sospechoso antes de una redirección: URL bloqueada. Informa de la famila del malware.
- URLs benignas con javascript sospechoso después de una redirección: URL legítima
- URLs inexistentes: URL no disponible.
- URLs benignas: URL legítima.
- URLs maliciosas activas: Este sitio es dañino.
- URLs maliciosas activas en el pasado pero que ya no existen: Sitio desconocido
- URLs malignas escondidas a través de servicios acortadores de URLs: Este sitio es seguro
- URLs benignas con javascript sospechoso antes de una redirección: Sitio desconocido
- URLs benignas con javascript sospechoso después de una redirección: Sitio desconocido
- URLs inexistentes: Sitio desconocido
- URLs benignas: Este sitio es seguro
- URLs maliciosas activas: Reportada como dangerous. Detalla familia.
- URLs maliciosas activas en el pasado pero que ya no existen: No se pudo escanear por algún problema
- URLs malignas escondidas a través de servicios acortadores de URLs: No se pudo escanear por algún problema
- URLs benignas con javascript sospechoso antes de una redirección: Reportada como dangerous.
- URLs benignas con javascript sospechoso después de una redirección: No se pudo escanear por algún problema
- URLs inexistentes: No se pudo escanear por algún problema
- URLs benignas: No se encontró ningún exploit
- URLs maliciosas activas: Maliciosas. Análisis en profundidad.
- URLs maliciosas activas en el pasado pero que ya no existen: Error de red accediendo a la URL.
- URLs malignas escondidas a través de servicios acortadores de URLs: Benigna, aunque realiza análisis de redirección.
- URLs benignas con javascript sospechoso antes de una redirección: Sospechosa
- URLs benignas con javascript sospechoso después de una redirección: Sospechosa
- URLs inexistentes: nombre de host no válido.
- URLs benignas: La url es segura.
CONCLUSIONES
Unmask parasites y wepawet fueron los servicios que más se acercaron a los resultados esperados. El tipo de URLs analizadas es sólo una mínima parte de la casuística que se puede presentar en este tipo de ataques. Los cibercriminales cada vez más, intentan camuflar su malware en Internet para mantener el control -cuanto más tiempo mejor- de los servidores que han modificado. Además, los BlackHat seo poseen una gran infraestructura para poder aprovecharse de cualquier acontecimiento de interés mundial. La suma de todo ello y las posibilidades de ocultarse ante herramientas como las analizadas en este artículo, muestran que actualmente la mejor protección pasa por una mezcla de herramientas de análisis automático, manual, sentido común como siempre, y algo de suerte.
Uno de los grandes problemas de este tipo de ataques es que suelen ser descubiertos tarde, cuando los visitantes de los sitios web comprometidos ya han sido infectados. Grandes pérdidas económicas y de reputación online pueden ser algunas de las consecuencias. En este sentido, no tiene el mismo impacto un sitio web pequeño muy segmentado, como el que pudiera tener un sitio web de interés público como servicios de administración electrónica o periódicos digitales por citar algunos. S21sec, dispone del servicio webmalware como medida proactiva en la lucha contra el fraude online y amenazas web y como parte de un servicio de protección integral.
Emilio Casbas
S21sec e-crime
Unmask parasites y wepawet fueron los servicios que más se acercaron a los resultados esperados. El tipo de URLs analizadas es sólo una mínima parte de la casuística que se puede presentar en este tipo de ataques. Los cibercriminales cada vez más, intentan camuflar su malware en Internet para mantener el control -cuanto más tiempo mejor- de los servidores que han modificado. Además, los BlackHat seo poseen una gran infraestructura para poder aprovecharse de cualquier acontecimiento de interés mundial. La suma de todo ello y las posibilidades de ocultarse ante herramientas como las analizadas en este artículo, muestran que actualmente la mejor protección pasa por una mezcla de herramientas de análisis automático, manual, sentido común como siempre, y algo de suerte.
Uno de los grandes problemas de este tipo de ataques es que suelen ser descubiertos tarde, cuando los visitantes de los sitios web comprometidos ya han sido infectados. Grandes pérdidas económicas y de reputación online pueden ser algunas de las consecuencias. En este sentido, no tiene el mismo impacto un sitio web pequeño muy segmentado, como el que pudiera tener un sitio web de interés público como servicios de administración electrónica o periódicos digitales por citar algunos. S21sec, dispone del servicio webmalware como medida proactiva en la lucha contra el fraude online y amenazas web y como parte de un servicio de protección integral.
Emilio Casbas
S21sec e-crime
4 comentarios:
Tenéis un pequeño error en uno de los enlaces ya que se has debido de pasar y habéis puesto el mismo dos veces y por tanto el verdadero falta xD
Me refiero a AVG linkscanner drop zone
Como apunte me gustaría recomendaros
http://www.novirusthanks.org/services/scan-websites-for-iframes/
Un saludo y gracias por el post.
@Jorge, dos veces gracias; por avisarnos de la errata, ya está corregida. Y por el apunte.
Un saludo
Nada hombre ;) que las gracias las tenemos que dar nosotros que vosotros sois los que os curráis los posts.
Sin querer ser pesado se me olvidó comentar (http://scanner.novirusthanks.org/) que aunque no sea lo mismo siempre viene bien.
Aún así también están bien:
-http://onlinelinkscan.com/ (Es una especie de "Virustotal" ya que integra otros "motores" de detección o en este caso otras webs)
-http://vms.drweb.com/online/ (Pestaña "Scan a link (URL)")
-http://vurl.mysteryfcm.co.uk
Nuevamene saludos cordiales
You forgot http://sucuri.net :)
Publicar un comentario en la entrada