Hola a tod@s!
Recientemente me he encontrado en una de esas situaciones en las que los dichos populares toman sentido. En este caso el dicho popular es el siguiente:
«Quien roba a un ladrón, 100 años de perdón…»
La situación es la siguiente. Me mandan un correo. Este correo tiene un link a un foro de un país en el que las damas me enamorarían con tan solo hablarme.
Al realizar un copy-paste del link y pegarlo al navegador, éste entra con facilidad en la Web. Pero al cargar la página completa, recibo una pequeña alerta. El sitio que voy a visitar puede dañar mi seguridad. Al analizar el código fuente, encuentro que éste contiene un IFRAME malicioso, el cual me redirige a una URL que me da la oportunidad de descargar no sólo uno, si no 3 archivos maliciosos.
Como el sábado no tenía nada que hacer (Es muy triste, lo sé… ;-)), me dispuse a tirar un poco del hilo, a ver qué me encontraba por el camino. Y vaya si me encontré con cosas….
Empezamos por el principio de esta hermosa historia.
Un ataque IFRAME se puede utilizar para muchos propósitos, desde ataques de denegación de servicios, descarga de archivos, o ataques de CSRF.
El iframe que se encontraba en el foro presentaba una URL codificada con el servicio de codificación de URL TinyURL. En el caso que nos ocupa, la URL http://tinyurl.com/false decodificada, presentaba una URL que apuntaba a http://WebDeMalware.com/in.cgi?default. Cuando intenté acceder a la Web anterior, ésta me redirigía al sitio http://OtraWebDeMalware.org/index.php, la cual me intentaba descargar 3 ficheros. Estos ficheros son un archivo .jar, un archivo .swf, y un archivo .pdf. Todos maliciosos, of course.
Imagen I. Iframe en foro vulnerable
Esos 3 archivos, analizados bajo VirusTotal, nos da 3 resultados, los cuales muestro a continuación:
Para tener una segunda opinión sobre los archivos descargados, utilicé otro servicio de análisis de malware basados en red. Este servicio, ofrecido por la Web iseclabs.org, Web de la que se habló también aquí, permite analizar ciertos archivos, como por ejemplo código javascript, ficheros pdf o ficheros flash.
http://wepawet.iseclab.org/view.php?hash=ab60256944c967a8553bd1ba4dd0e37b&type=js
Como virustotal y los laboratorios de iseclab se encargaron de analizar los ficheros por mi (Gracias chicos!!) me dispuse a «pelearme» un poco con las dos únicas direcciones que tenía.
Target1: http://WebDeMalware.com
Target2: http://OtraWebDeMalware.org
Como tenía tiempo para montar la estrategia, ya que no tenía nada que hacer en Sábado (Sí, otra vez, es muy triste… ;-)), me dibujé un pequeño mapa de cómo estaba la situación…
Imagen 2.- Mapa Inicial de la situación
Lo primero que hice fue «visitar» los sitios maliciosos con la debida protección. El primer sitio que visité, sólo tenía un html estático en el index de la página, y poco se podía hacer en ella, de momento….
Imagen 3.- HTML estático de uno de los Sites
El segundo sitio que visité, a veces te intentaba descargar el malware, y a veces te redirigía a Google.cn (Google China). Así que en principio, poco se podía hacer también, de momento…
El siguiente paso por el que opté fue el descubrimiento de puertos de ambos servidores. El cuadro comparativo lo expongo aquí:
Imagen 4.- Descubrimiento de puertos en los sites
Examinando las respuestas a la hora de descubrir puertos, me encuentro con que uno de los servidores lleva un sistema operativo Linux y el otro servidor lleva puesto un Windows. Como el puerto de terminal server está a la espera de alguna petición, me intento conectar con un cliente virtualizado.
Imagen 5.- Acceso deste un cliente TS
Rusos!!
Next Step… Footprinting!
Gracias a los códigos de estado HTTP, y si nada lo impide, se pueden realizar peticiones a una Web, tomando como base un diccionario «rico en palabros». Este tipo de técnicas se pueden utilizar para descubrir directorios ocultos en un servidor Web, y nos pueden arrojar mucha información sobre un sitio en particular. Aplicando estas técnicas con los sitios Web, se obtiene la siguiente información:
Imagen 6.- Descubrimiento de directorios
Imagen 7.- Descubrimiento de directorios
Como se puede observar en las imágenes, las Webs tienen directorios interesantes. Directorios como Admin, PhpMyAdmin, test o data, hacen las delicias para cualquiera que tenga un mínimo de curiosidad. Queréis ver lo que hay? Sigamos!
Next Step… Open the door!
Algunas veces, cuando auditamos algún sitio, y vemos un campo login + passwd, nos ponemos en lo peor. Pero me acordé de una charla en el Asegur@IT Camp de Alejandro ramos. Este pájaro, demostró como hoy en día, existen personas que son capaces de tener correos con pass 123456. El directorio Admin de una de las Webs, redirige a un apartado de autenticación, en el que se nos solicita un usuario y una password. En honor a la verdad, he de decir que los rusos no tenían como password 123456, pero también he de decir, que la pass era ADMIN… No comments….
Aparentemente, el sitio no es más que una simple aplicación para manejar una botnet. En ella, se nos reflejan estadísticas de los sitios atacados, y contadores de visitas por cada sitio.
Imagen 8.- Status Botnet
Imagen 9.- Estadísticas de Botnet
En la aplicación, también se pueden mostrar estadísticas de los sitios Web. Gracias a ello, los rusos también tendrán cierto control sobre si la vulnerabilidad en los sites se explota de forma correcta. En el caso opuesto, los rusos pueden dar por sentado de que el sysadmin del site ha parcheado el fallo.
Imagen 10.- Webs y foros atacados
Al parecer el ataque se está realizando en versiones no actualizadas de VBULLETIN y VBSEO
Mañana vamos con la edición II
Salu2!!
El diario de Juanito 
Muchacho, genial post… he disfrutado como un niño pequeño… Para no ser cabrón, a ver si haces más este tipo de cosas un … ¿jueves? no sé que te lo den libre, disfruta bien del sábado, y currate algo así un jueves, por que mola un montón xD. ¡espero impaciente la 2ª parte! (tambien que cabrón no públicarlo junto…!
PD: ¿qué app utilizas para el scan de directorios?
Un abrazo,
winsock
+1 al «maeztro»
yo también he disfrutado como un niño con su novela nueva…
por cierto… a ver si nos dejamos de tonterías y empezamos a reconocer que pocas cosas son mas divertidas que un poquito de «pentesting de sabadete», a ver si cambiamos de una vez el dicho… 😀
Ziquillo! Con un porte como el tuyo y sin na’ que hacer el sábado?
Me ha encantado el post, ansío leer mañana la segunda parte.
Jejeje Si que ha estado buenisimo esto ya espero la segunda parte con ansiedad que bonito es jugar en la vida real. Saludos
Muy chulo!! Esperando con muchas ganas la segunda parte 🙂
Saludos
Admin, me parto…
Muy buen post!
Eres la Hostia!!! quillo. Vente para la rooted CON!! que tienes pagadas unas cervecitas…no me faltes ehhh!!! que viene también Neofito!!!
Eso eso, que las cervezas las pague Pedro!!! 😀
Saludos
Simplemente genial, me encantan estos casos reales y explicaditos paso a paso 😀
Como petición/sugerencia para darle mayor «valor didáctico», podrías detallar más en cuanto a aplicaciones utilizadas, metodologías, etc? Sin duda será más coñazo para ti, pero más delicioso para nuestros paladares.
Te has ganado un nuevo seguidor muejejeje
gran entrada 🙂
Espero con ansias la 2º parte,
saludos!
Muy buen post. Me trae recuerdos de batallitas pasadas. A ver si me animo un día y cuento alguna.
Un saludo!
#Winsock
Gracias titi!!
En cuanto a las herramientas hay muchas! Esta herramienta (la de la foto) se llama WFUZZ de Christian Martorella
http://www.edge-security.com/wfuzz.php
#Atamagl0
Killoooo que hay crisis hasta pá esto!! XDD
#Pedro y Neofito
Cervecitas pagadas!!
#Grifo
Metodologias hay muchas, puedes empezar por leerte la guía de pruebas de OWASP, que está de lujo!
Haz clic para acceder a Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf
#Juanma
Anímate titi!! Gracias por el comment!
#fon
Gracias fon!
botnet tumbada, que es lo que deberias haber hecho nada más entrar, pero bueno, ya me he encargado yo.
Me encantaria ver la cara de los rusos cuando vean el desastre xD
Muy molón Null, pero hay mejores maneras de terminar con estos «tipejos». El site estaba denunciado por MI desde el minuto 1, y, si has sido tú…. Has entorpecido una investigación….
Lo que has hecho seguro que ha sido con el corazón, pero no lo has hecho con cabeza. Es de lumbreras!!
Salu2!
Ozú miarma 😛 no ties peligro tu ni na con 4 teclas una conexión a internet…
Magnífico trabajo…!!
Solo una última duda, de dnd cogiste los tres archivos que se intentaron descargar?, si se intentaron descargar como un plug-in del navegador supongo que los cogerías de la carpeta correspondiente una vez descargados verdad?.
Gracias y una vez más un magníco trabajo.
#Null, estoy de acuerdo con Juanito deberías haberlo dejado correr hasta ver en que desembocaba todo esto, de otra manera es posible que hayas borrado pruebas muy valiosas para los de delitos telematicos (entre otros), en fin lo hecho, hecho esta.
Muy buena la entrada 🙂
podrías comentarme que herramienta has utilizado para el diagrama de la imagen2?
gracias.