Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
El usuario malicioso (atacante) inserta en la pgina web vulnerada un script malicioso y luego el
proceso contina de la siguiente manera:
1. Otro usuario (vctima) realiza una consulta al sitio comprometido (accede a la pgina web).
Encontrar este tipo de infeccin es cada vez ms comn en sitios de cualquier ndole; desde
sitios web de empresas con administracin deficiente, que no son mantenidos de forma apropiada,
o en aquellos blogs, CMS o foros que contienen vulnerabilidades en su cdigo fuente y son
hallados por los atacantes.
Cmo prevenir este tipo de ataques?
Sin duda, la implementacin de prcticas de navegacin seguras, permiten mitigar los riegos
asociados a sufrir un ataque de este tipo. Desde el centro de amenazas de ESET Latinoamerica,
proponen los siguientes consejos que ayudan a prevenir infecciones de este tipo, los cuales
compartimos:
o Implementar una solucin de seguridad antivirus con capacidades de deteccin proactiva
como ESET NOD32 que, a travs de mecanismos de Heurstica Avanzada, permita detectar
cdigos maliciosos desconocidos.
o Mantener todas las aplicaciones, incluso el programa antivirus, actualizadas con los
parches de seguridad. Por lo general, las aplicaciones incluyen una opcin que permite comprobar
la existencia de nuevas actualizaciones.
o Del mismo modo, siempre se debe tener presente actualizar el sistema operativo con los
ltimos parches de seguridad.
o Evitar hacer clic sobre enlaces desde pginas web de procedencia dudosa o que se
encuentren incrustados en el cuerpo de correos electrnicos, prestando especial atencin al correo
electrnico no deseado (spam).
o Verificar hacia dnde redireccionan los enlaces. Con slo pasar el cursor sobre el enlace,
es posible visualizar desde la barra de estado hacia qu sitio web redirecciona el vnculo.
o El bloqueo de determinados sitios considerados maliciosos, ya sea porque descargan
malware o porque contienen material de dudosa reputacin, es tambin otra de las mejores
prcticas que ayudan a la prevencin y refuerzan la seguridad del equipo.
o En caso de ser administrador de un sitio web, realizar la actualizacin de todas las
aplicaciones web y controlar las mismas para localizar cualquier tipo de script que pueda haber
sido insertado por terceros.
Drive-by download, que tambin es conocido como Drive-by Exploit, se refiere a un malware que
se instala en tu computadora (o dispositivo mvil) con el slo hecho de visitar pginas en Internet
que estn infectadas por este tipo de amenaza. El nombre mismo de esta amenaza revela su
naturaleza, que se puede traducir a espaol como descarga al pasar (no hay una traduccin
oficial al idioma espaol).
Al decir que es una descarga al pasar, se implica que no se requiere de una interaccin explcita;
este malware se encuentra en el mismo cdigo HTML de las pginas infectadas (hacen un buen
trabajo para ocultar el cdigo malicioso) y el slo hecho de cargarlas en tu navegador de Internet
hace que se contamine tu computadora.
En mayo de 2012 se registr uno de los primeros ataques a un dispositivo Android, lo que dio a
conocer al mundo que esta amenaza est latente tambin en dispositivos mviles.
Las recomendaciones para evitar esta amenaza es son similares a las que se mencionan para
muchas otras en Internet:
Asegrate de que tu sistema operativo est al da (ya sea OS X o Windows), ya que lo que se
aprovecha para esta infeccin son vulnerabilidades tanto en sistema operativo como en
navegadores. Si utilizas software viejo corres ms riesgos.
Evita hacer clic en enlaces de origen dudoso.
Utiliza herramientas para hacer bsquedas seguras o que te den informacin de qu tan confiable
es una pgina.
Anup Ghosh, profesor investigador y cientfico jefe de CSIS, afirma que las medidas de seguridad
perimetral como firewalls y antivirus fallan a la hora de captar la mayora de los ataques drive-by
download. Dice que lo que funciona es que los usuarios ejecuten sus navegadores web en un
software de mquina virtual, que actuara como buffer aislando el malware de las mquinas
anfitrionas. De esta manera, los usuarios se convertiran en sensores que protegen las redes
empresariales.
Los usuarios se infectan visitando sitios web 2.0, explica Ghosh. Las pginas aparentemente
seguras tambin se estn viendo comprometidas. Tiene que ver con la web 2.0 y con sites donde
los usuarios contribuyen con contenidos. Los usuarios pueden poner en ellas Java script tan fcil
como si fuera HTML. Ahora hay muchas infecciones que proceden de Facebook y Blogspot. Los
usuarios finales no tienen que pinchar en un enlace y seguir un hilo. Con un ataque tipo drive-by,
no se necesita engaar al usuario. Simplemente visitas tu pgina web favorita y te infectas del
software cargado por otro.
La propuesta de Ghosh se denomina Internet Cleanroom (sala blanca para Internet) y crea bajo
demanda una mquina virtual de nico uso cuando se necesita para navegar por Internet y luego
desaparece despus de utilizarse. Ese sensor proporcionara posteriormente informacin sobre
ataques de malware a una base de datos que recopila los sites que intentan romper el entorno
virtual del usuario. Internet Cleanroom se comercializa a travs de la start-up llamada Secure
Command.
Ghosh reconoce, no obstante, que su propuesta requiere un trabajo extra porque los usuarios
deben ejecutar software virtual en sus sobremesas, si bien considera que su herramienta es una
solucin ms eficaz contra los ataques drive-by download que los planteamientos basados en
firmas utilizados hoy en da. Capturamos el ataque en todas las webs donde se infecta un usuario.
Es muy raro que haya una firma existente.
A simple vista se percibe que el script se encuentra ofuscado, lo cual no implica necesariamente
que esconda un comportamiento malicioso, ya que los desarrolladores podran haberlo ofuscado
para proteger su cdigo. Sin embargo, al mirar todos los otros scripts en la pgina, se observa que
los dems no estn ofuscados, lo cual es extrao. En la siguiente imagen se observa el cdigo del
script:
Bsicamente, al convertir el arreglo de nmeros del sistema numrico octal al decimal, y restarle 7
a cada elemento, se obtiene otro arreglo de nmeros que se corresponde con una sucesin de
cdigos ASCII. Al obtener la representacin de esos nmeros, se puede ver el script desofuscado:
Se aprecia que dicho script utiliza un iframe oculto para realizar una solicitud a un servidor
malicioso. Si se contina interceptando los paquetes, y se analiza la peticin, se observa que
ocurre una redireccin a otra pgina dentro del mismo servidor. Luego, se solicita otra pgina web,
cuyo contenido se muestra en la siguiente pgina:
Esta pgina tiene compresin gzip, por lo que, en este caso, podemos aprovechar las facilidades
que otorga Wireshark para visualizar los objetos que intervienen en la comunicacin. As, si se
utiliza el men para exportar objetos http, se podr tener acceso a los mismos, en particular a la
pgina comprimida que se mencion antes:
Al exportarla, se obtiene la misma sin compresin, lo cual permite analizar su cdigo fuente. El
anlisis de este cdigo se omite, pero vale la pena mencionar que consiste en ms datos y scripts
ofuscados. Siguiendo el flujo de la comunicacin con el servidor, se vern ms redirecciones y
pginas web intermedias, hasta llegar a la pgina que se muestra en la siguiente imagen:
La imagen anterior consiste en una parte del cdigo fuente de esta pgina. A partir del mismo se
observa la existencia de un applet de Java, el cual puede ejecutar cdigo malicioso en la mquina
del usuario. Tambin se nota la existencia de un archivo ejecutable de Windows dentro de los
parmetros definidos para el applet, posiblemente encapsulando la funcionalidad maliciosa en s.
Como resultado de este anlisis, se observa que un usuario que no est debidamente protegido
contra la amenaza podra sufrir la ejecucin de cdigo no deseado en su computadora, tan slo por
visitar un sitio web. Esta amenaza es detectada por ESET como JS/Kryptik.AMI. Cabe destacar,
adems, que esta es una amenaza muy reciente, la primer firma fue agregada a la base de datos
data del 9 de julio, y su tasa de deteccin est en crecimiento, como se puede ver en la siguiente
imagen:
Cmo puedo prevenir una infeccin en mis sitios web?
La gran mayora de las infecciones se producen por el desconocimiento del webmaster, y es por
ello que desde Profesional Hosting tratamos de concienciar a nuestros clientes de la importancia
de tener sus sitios web actualizados, tanto el Script que utilice as como todos sus componentes
mdulos y themes, ya que el no hacerlo entraa un alto riesgo para nuestro sitio. Pero estos
factores no son los unicos que pueden poner en peligro la seguridad de nuestra web, tambin el
hecho de utilizar mdulos o themes nulled, puede dar lugar a que nuestra web sea infectada, ya
que es muy difcil detectar que puedan llevar cdigo malicioso.
Con estas dos pginas podremos analizar los ficheros de nuestro sitio web y nos informara en el
caso de que estn infectadas pero no nos avisaran en el caso de que nuestra base de datos sea la
que contiene la infeccin.
Existen sitios web que se encuentran infectados con este tipo de malware.
Especficamente, fueron inyectados con cdigo que utilizan iframes para
conectarse a sitios remotos y descargar el malware. Generalmente el cdigo se
encuentra al final del sitio web y utiliza etiquetas propiamente configuradas, como
por ejemplo la etiqueta style con el valor hidden, para ocultarse de la vista del
usuario.