Español | English
rss facebook linkedin Twitter

Código legítimo en webs y falsos positivos

Un exploit pack o también conocido como exploit kit es un software desarrollado con fines maléficos. Se compone de una serie de exploits conocidos para diferentes aplicaciones o también zero days, si contiene de estos últimos, el exploit kit estará muy bien cotizado en el mercado underground. Su objetivo es infectar a víctimas para que estas pasen a formar parte de botnets u otros fines fraudulentos. Existe una gran demanda en el mercado underground, no hacen falta muchos conocimientos para ponerlo en marcha, similar a instalar un wordpress, y se administra vía web.

Ejemplo de un panel de exploit kit mostrando estadísticas de infección por navegador

Fuente: http://malwareview.com/index.php?topic=8.0


Pero únicamente con comprar un exploit kit en el mercado negro, e instalarlo no será suficiente, una de las claves será conseguir tráfico hacia él, bien con técnicas black hat SEO, o directamente inyectando iframes y scripts en webs legítimas que han sido comprometidas y apuntando hacia el exploit kit, formando así lo que se conoce como drive-by downloads, posteriormente las posibilidades de que un sitio legítimo sea penalizado por los sistemas de monitorización de malware en navegadores, seran muy altas. Pero ¿a qué viene todo esto?

Una de las características que más se observa en el código html de estas páginas infectadas es la inyección de etiquetas iframe o script después de la del cierre del html.

Fuente: http://blog.urlvoid.com/website-infected-with-malicious-scripts/


El estándar para el elemento script dice:

"The SCRIPT element places a script within a document. This element may appear any number of times in the HEAD or BODY of an HTML document."


El hecho de encontrarse un elemento script o iframe después de la etiqueta de cierre del html hará saltar todas las sospechas, y muchos de los motores de análisis de URLs ponderarán de manera muy alta esta situación, llegando incluso a dar falsos positivos en páginas legítimas. Se ha comprobado que algunos sitios mantienen esta mala práctica bien a través de ellos mismos o por desconocimiento mediante widgets de terceros.

Evitad en lo posible situaciones como esas en vuestros sitios web si no quereis llevaros una desagradable sorpresa.


Emilio Casbas
S21sec e-crime




(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login