Exposición, Malware y otras cosas de meter

Estándar

Hola a tod@s!!

El otro día, charlando en una reunión entre colegas, terminamos hablando de Malware y la ventana de exposición ante un ataque Web. La conversación estuvo interesantísima, con varios puntos de vista sobre un posible ataque a una Web, y cual sería la ventana de exposición si el ataque se hubiese llevado a buen fin.

También se planteó la posibilidad de una variación del “Target”. Y si lo que se hackea no es un servidor Web? Cómo expondrían malware a través de HTTP? Sería factible para el atacante este tipo de objetivos?

Lo cierto es que en el tema de distribución de Malware hay distintos puntos de vista, y, bajo mi humilde opinión, todos suelen ser válidos.

Generalmente la ventana de exposición de un Malware en una determinada Web depende de muchos factores. El primero es la “atención” de los administradores ante el Site, junto con el nivel de actualización del sistema y código fuente, por ejemplo. Otro aspecto podría ser la “originalidad” del atacante a la hora de incluir código malicioso en un site, y por último podríamos indicar la “rapidez” con la que el atacante necesita distribuir su Malware.

No hace falta comentar que, ni son las únicas, ni las más importantes. Tan sólo son varias opciones de N(todas válidas) opciones.

Cuando me iba a casa, me puse a pensar en la última opción que os comento. La rapidez a la hora de distribuir Malware. Existen ataques muy planificados sobre dominios que tienen muchas visitas al día. La ventana de exposición puede ser mínima si existe cierto control administrativo sobre la Web, pero no cabe duda de que en esa ventana de exposición, si ha habido mucha actividad, el ataque se convierte en un éxito rotundo. Pero y si no se tiene ese nivel técnico? Y si no se dispone de la capacidad para realizar un ataque así? Cómo pueden disponer de tecnología 3B (Buena, bonita y barata)? El caso más importante para ilustrar esto, lo tenemos con la creación de la BotNet Mariposa, y la posterior detención de los malhechores. Gente con baja cualificación que logran hacerse con un buen número de equipos. Security By Default tiene estupendos artículos sobre esta campaña, e incluso una entrevista con el director técnico de Panda Security, hablando de este tema. Si tomamos como base esta información y damos por hecho que pueden llegar a existir un gran número de atacantes con este perfil, se puede llegar a deducir, que uno de los elementos más importantes con los que pueden llegar a contar estos atacantes, es la rapidez de propagación de su “Mal”.

Así que, como no echaban nada en la tele, y no tenía ninguna película nueva que ver, me planteé algo rápido de montar, que se pudiese actualizar vía HTTP, y efectivo en segundos. Y esta vez para Windows, of course… 😉

Lo más rápido que se me ocurrió fue montar un mini servidor HTTP. Existen varios en el mercado, pero uno de los más conocidos es HTTP File Server, o más conocido como HFS.

Este servidor, el cual yo utilizo mucho para auditorías y algún que otro curso, me permite distribuir lo que quiera de manera rápida y sencilla. Así que me puse a buscar por la Red este tipo de servicios y para qué se destinaban.

Para ello, me pongo a buscar a través de Shodan junto con Google, y la verdad es que me llevé muchas sorpresas con el “destino” de este tipo de aplicaciones.

Imagen 1.- Bingo!!

En este servidor me encuentro con algún que otro Malware y software de relativa poca importancia…

Imagen 2.- Malware por favor!!

Este me encanta, porque tiene gran cantidad de malware, con distintos modos de infección. Uno de ellos, es simplemente un acceso directo que habilita un servidor VNC no interactivo en la máquina víctima. Se ve pero no se toca…

Aunque no todo es Malware y vías de infección. Que todos sabemos que entre ventana de exposición y ventana de exposición, siempre queda algo para las “intrusiones” o los “penetration test”, y si no, que se lo digan a dimitry!

Imagen 3.- Internet is for pr0n!!

En otro orden de cosas, me he encontrado con Webs??? de nuestro gobierno levantadas con este tipo de herramientas. Una de ellas es esta, y me ha parecido curiosa. Espero que no venga ahora algún político y suelte que se han gastado N millones en realizarla…..

Saludos a tod@s!!

Anuncios

10 comentarios en “Exposición, Malware y otras cosas de meter

      • Hola Rubén!!
        Se cruzan gracias a que a través de Shodan buscas el banner de la aplicación o servicio publicado, y con Google o Bing buscas elementos comunes que identifiquen de forma unívoca un servicio. Estos elementos comunes generalmente se encuentran en código HTML, Javascript, hojas de estilo, etc, etc…
        Saludos!

      • Ruben

        Eso mas o menos me lo imaginaba. Pero mi pregunta era que como automatizabas el proceso para no tener que ir resultado por resultado cuando buscabas algo en concreto.

      • Ruben

        jejejej no puedo editar el comentario anterior… Bueno, no consigo hacer lo que queria. Se trata de buscar, dentro de los servidores HFS que me devuelve el shodan, cierto tipo de archivos, como se hace en el post. Es decir, imaginaos que ando buscando el archivo “dominareelmundoconestevirus.rar” dentro de los servidores HFS que me devuelve shodan. Es un poco menos que imposible, ir mirando uno a uno e intentar encontrar ese archivo. Ya me duele un poco la cabeza, asi que me doy por vencido (por un rato).

        Gracias por contestar antes, y sobre todo, gracias por el blog!

      • Con Shodan no puedes, ya que “sólo” te da el banner. A partir de ahí tienes que automatizar las búsquedas mediante scripts. Con Google puedes afinar algo más, ya que muestra una “foto” de la Web principal, y a partir de ahí puedes buscar por título o contenido…
        Saludos!

  1. Marc Rivero López

    Hola Juanillo!

    Que bueno este POST, la verdad es que tienes razón en cuanto a las maneras que explicabas de la difusión del malware. Aunque también he de decirte que la ingeniería social juega un importante papel.

    Un saludo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s