Hola a tod@s!!
El otro día, charlando en una reunión entre colegas, terminamos hablando de Malware y la ventana de exposición ante un ataque Web. La conversación estuvo interesantísima, con varios puntos de vista sobre un posible ataque a una Web, y cual sería la ventana de exposición si el ataque se hubiese llevado a buen fin.
También se planteó la posibilidad de una variación del “Target”. Y si lo que se hackea no es un servidor Web? Cómo expondrían malware a través de HTTP? Sería factible para el atacante este tipo de objetivos?
Lo cierto es que en el tema de distribución de Malware hay distintos puntos de vista, y, bajo mi humilde opinión, todos suelen ser válidos.
Generalmente la ventana de exposición de un Malware en una determinada Web depende de muchos factores. El primero es la “atención” de los administradores ante el Site, junto con el nivel de actualización del sistema y código fuente, por ejemplo. Otro aspecto podría ser la “originalidad” del atacante a la hora de incluir código malicioso en un site, y por último podríamos indicar la “rapidez” con la que el atacante necesita distribuir su Malware.
No hace falta comentar que, ni son las únicas, ni las más importantes. Tan sólo son varias opciones de N(todas válidas) opciones.
Cuando me iba a casa, me puse a pensar en la última opción que os comento. La rapidez a la hora de distribuir Malware. Existen ataques muy planificados sobre dominios que tienen muchas visitas al día. La ventana de exposición puede ser mínima si existe cierto control administrativo sobre la Web, pero no cabe duda de que en esa ventana de exposición, si ha habido mucha actividad, el ataque se convierte en un éxito rotundo. Pero y si no se tiene ese nivel técnico? Y si no se dispone de la capacidad para realizar un ataque así? Cómo pueden disponer de tecnología 3B (Buena, bonita y barata)? El caso más importante para ilustrar esto, lo tenemos con la creación de la BotNet Mariposa, y la posterior detención de los malhechores. Gente con baja cualificación que logran hacerse con un buen número de equipos. Security By Default tiene estupendos artículos sobre esta campaña, e incluso una entrevista con el director técnico de Panda Security, hablando de este tema. Si tomamos como base esta información y damos por hecho que pueden llegar a existir un gran número de atacantes con este perfil, se puede llegar a deducir, que uno de los elementos más importantes con los que pueden llegar a contar estos atacantes, es la rapidez de propagación de su “Mal”.
Así que, como no echaban nada en la tele, y no tenía ninguna película nueva que ver, me planteé algo rápido de montar, que se pudiese actualizar vía HTTP, y efectivo en segundos. Y esta vez para Windows, of course… 😉
Lo más rápido que se me ocurrió fue montar un mini servidor HTTP. Existen varios en el mercado, pero uno de los más conocidos es HTTP File Server, o más conocido como HFS.
Este servidor, el cual yo utilizo mucho para auditorías y algún que otro curso, me permite distribuir lo que quiera de manera rápida y sencilla. Así que me puse a buscar por la Red este tipo de servicios y para qué se destinaban.
Para ello, me pongo a buscar a través de Shodan junto con Google, y la verdad es que me llevé muchas sorpresas con el “destino” de este tipo de aplicaciones.
Imagen 1.- Bingo!!
En este servidor me encuentro con algún que otro Malware y software de relativa poca importancia…
Imagen 2.- Malware por favor!!
Este me encanta, porque tiene gran cantidad de malware, con distintos modos de infección. Uno de ellos, es simplemente un acceso directo que habilita un servidor VNC no interactivo en la máquina víctima. Se ve pero no se toca…
Aunque no todo es Malware y vías de infección. Que todos sabemos que entre ventana de exposición y ventana de exposición, siempre queda algo para las “intrusiones” o los “penetration test”, y si no, que se lo digan a dimitry!
Imagen 3.- Internet is for pr0n!!
En otro orden de cosas, me he encontrado con Webs??? de nuestro gobierno levantadas con este tipo de herramientas. Una de ellas es esta, y me ha parecido curiosa. Espero que no venga ahora algún político y suelte que se han gastado N millones en realizarla…..
Saludos a tod@s!!