Español | English
rss facebook linkedin Twitter

Servicios y herramientas de análisis de URLs maliciosas

En el cuarto trimestre de 2009 aproximádamente 5.5 millones de páginas web contenían software diseñado para realizar instalaciones sin necesidad de la intervención del usuario (fuente). Este tipo de ataques, a.k.a drive-by downloads, hace tiempo eran comunes en sitios de dudoso contenido, pero en la actualidad, la tendencia es encontrarlos en todo tipo de sitios web legítimos, ya sea directamente o bien, a través de terceros como banners publicitarios.

Existen servicios WebMalware avanzados, orientados a empresa e instituciones, con el objetivo de detectarlos y poner solución a estas amenazas antes de que realicen una infección másiva a los visitantes de estos sitios web. Qualys recientemente ha publicado una BETA pública con limitaciones para su uso.

Por otra parte, existen herramientas gratuitas con el mismo objetivo pero destinadas al usuario final, ya que únicamente permiten realizar el análisis de una url, sin posibilidad de crawling, ni otras características. Algunos de estos servicios van desde la simple comprobación de la URL en listas negras, hasta el uso de honeypots de alta interacción para el análisis de comportamiento. Ante la heterogeneidad de este tipo de ataques, decidimos probar algunos de estos servicios gratuitos en busca de comportamientos ante diferentes tipos de URLs.

Los servicios gratuitos de análisis de URLs probados fueron:
El tipo de URLs que se probaron:
  • URLs maliciosas activas
  • URLs maliciosas activas en el pasado pero que ya no existen (inactivas)
  • URLs maliciosas escondidas a través de servicios acortadores de URLs
  • URLs benignas con javascript sospechoso antes de una redirección
  • URLs benignas con javascript sospechoso después de una redirección
  • URLs inexistentes
  • URLs benignas

(Código malicioso drive-by download)

Para simplificar el análisis, mostramos cada servicio con el comportamiento ante cada tipo de URL. Mostramos únicamente un resumen representativo del resultado de dicho análisis:

WEB OF TRUST
  1. URLs maliciosas activas: Contenido malintencionado, virús.
  2. URLs maliciosas activas en el pasado pero que ya no existen: Contenido malintencionado, virús, infracción en navegador, spyware.
  3. URLs malignas escondidas a través de servicios acortadores de URLs: Sitio de confianza
  4. URLs benignas con javascript sospechoso antes de una redirección: No muestra nada
  5. URLs benignas con javascript sospechoso después de una redirección: No muestra nada
  6. URLs inexistentes: No muestra nada
  7. URLs benignas: Sitio de confianza
UNMASK PARASITES
  1. URLs maliciosas activas: URL sospechosa.
  2. URLs maliciosas activas en el pasado pero que ya no existen: Error.
  3. URLs malignas escondidas a través de servicios acortadores de URLs: URL sospechosa
  4. URLs benignas con javascript sospechoso antes de una redirección: URL sospechosa
  5. URLs benignas con javascript sospechoso después de una redirección: URL limpia
  6. URLs inexistentes: Error
  7. URLs benignas: URL limpia
TREND MICRO WEB REPUTATION
  1. URLs maliciosas activas: URL maliciosa.
  2. URLs maliciosas activas en el pasado pero que ya no existen: URL maliciosa.
  3. URLs malignas escondidas a través de servicios acortadores de URLs: No maliciosa
  4. URLs benignas con javascript sospechoso antes de una redirección: No maliciosa
  5. URLs benignas con javascript sospechoso después de una redirección: No maliciosa
  6. URLs inexistentes: No maliciosa
  7. URLs benignas: No maliciosa
NORTON SAFE WEB
  1. URLs maliciosas activas: 7 amenazas encontradas. Clasificación del tipo de amenazas.
  2. URLs maliciosas activas en el pasado pero que ya no existen: Sitio seguro
  3. URLs malignas escondidas a través de servicios acortadores de URLs: Sitio seguro
  4. URLs benignas con javascript sospechoso antes de una redirección: No comprobado
  5. URLs benignas con javascript sospechoso después de una redirección: No comprobado
  6. URLs inexistentes: No comprobado
  7. URLs benignas: Sitio seguro.
FINJAN URL ANALISIS
  1. URLs maliciosas activas: URL bloqueada, virus detectado. Informa de la familia del malware.
  2. URLs maliciosas activas en el pasado pero que ya no existen: URL bloqueada. Informa de la familia del malware
  3. URLs malignas escondidas a través de servicios acortadores de URLs: URL bloqueada. Informa de la familia del malware
  4. URLs benignas con javascript sospechoso antes de una redirección: URL bloqueada. Informa de la famila del malware.
  5. URLs benignas con javascript sospechoso después de una redirección: URL legítima
  6. URLs inexistentes: URL no disponible.
  7. URLs benignas: URL legítima.
F-SECURE BROWSING PROTECTION
  1. URLs maliciosas activas: Este sitio es dañino.
  2. URLs maliciosas activas en el pasado pero que ya no existen: Sitio desconocido
  3. URLs malignas escondidas a través de servicios acortadores de URLs: Este sitio es seguro
  4. URLs benignas con javascript sospechoso antes de una redirección: Sitio desconocido
  5. URLs benignas con javascript sospechoso después de una redirección: Sitio desconocido
  6. URLs inexistentes: Sitio desconocido
  7. URLs benignas: Este sitio es seguro
AVG LINK SCANNER DROP ZONE
  1. URLs maliciosas activas: Reportada como dangerous. Detalla familia.
  2. URLs maliciosas activas en el pasado pero que ya no existen: No se pudo escanear por algún problema
  3. URLs malignas escondidas a través de servicios acortadores de URLs: No se pudo escanear por algún problema
  4. URLs benignas con javascript sospechoso antes de una redirección: Reportada como dangerous.
  5. URLs benignas con javascript sospechoso después de una redirección: No se pudo escanear por algún problema
  6. URLs inexistentes: No se pudo escanear por algún problema
  7. URLs benignas: No se encontró ningún exploit
WEPAWET
  1. URLs maliciosas activas: Maliciosas. Análisis en profundidad.
  2. URLs maliciosas activas en el pasado pero que ya no existen: Error de red accediendo a la URL.
  3. URLs malignas escondidas a través de servicios acortadores de URLs: Benigna, aunque realiza análisis de redirección.
  4. URLs benignas con javascript sospechoso antes de una redirección: Sospechosa
  5. URLs benignas con javascript sospechoso después de una redirección: Sospechosa
  6. URLs inexistentes: nombre de host no válido.
  7. URLs benignas: La url es segura.


CONCLUSIONES

Unmask parasites y wepawet fueron los servicios que más se acercaron a los resultados esperados. El tipo de URLs analizadas es sólo una mínima parte de la casuística que se puede presentar en este tipo de ataques. Los cibercriminales cada vez más, intentan camuflar su malware en Internet para mantener el control -cuanto más tiempo mejor- de los servidores que han modificado. Además, los BlackHat seo poseen una gran infraestructura para poder aprovecharse de cualquier acontecimiento de interés mundial. La suma de todo ello y las posibilidades de ocultarse ante herramientas como las analizadas en este artículo, muestran que actualmente la mejor protección pasa por una mezcla de herramientas de análisis automático, manual, sentido común como siempre, y algo de suerte.

Uno de los grandes problemas de este tipo de ataques es que suelen ser descubiertos tarde, cuando los visitantes de los sitios web comprometidos ya han sido infectados. Grandes pérdidas económicas y de reputación online pueden ser algunas de las consecuencias. En este sentido, no tiene el mismo impacto un sitio web pequeño muy segmentado, como el que pudiera tener un sitio web de interés público como servicios de administración electrónica o periódicos digitales por citar algunos. S21sec, dispone del servicio webmalware como medida proactiva en la lucha contra el fraude online y amenazas web y como parte de un servicio de protección integral.

Emilio Casbas
S21sec e-crime

6 comentarios:

Jorge dijo...

Tenéis un pequeño error en uno de los enlaces ya que se has debido de pasar y habéis puesto el mismo dos veces y por tanto el verdadero falta xD

Me refiero a AVG linkscanner drop zone

Como apunte me gustaría recomendaros

http://www.novirusthanks.org/services/scan-websites-for-iframes/

Un saludo y gracias por el post.

S21sec labs dijo...

@Jorge, dos veces gracias; por avisarnos de la errata, ya está corregida. Y por el apunte.

Un saludo

Jorge dijo...

Nada hombre ;) que las gracias las tenemos que dar nosotros que vosotros sois los que os curráis los posts.

Sin querer ser pesado se me olvidó comentar (http://scanner.novirusthanks.org/) que aunque no sea lo mismo siempre viene bien.

Aún así también están bien:

-http://onlinelinkscan.com/ (Es una especie de "Virustotal" ya que integra otros "motores" de detección o en este caso otras webs)

-http://vms.drweb.com/online/ (Pestaña "Scan a link (URL)")

-http://vurl.mysteryfcm.co.uk

Nuevamene saludos cordiales

http://sucuri.net dijo...

You forgot http://sucuri.net :)

Anónimo dijo...

Otra técnica alternativa para esconder URLs al usuario y propagar phishing, virus, etc.

http://www.sysadmit.com/2014/11/phishing-con-data-uri-scheme.html

Así que ojo con este tipo de enlaces, donde no vemos el dominio destino.

Carmen dijo...

Hay que andarse con mucho ojo en internet en cuanto te descuidas te la clavan. Yo siempre navego con antivirus pero aún así si veo algo raro meto la url en un analizador de urls como http://ricco.es/comprobar-url-maliciosa.html u otro y al menos navego más segura


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login