jueves, 9 de julio de 2009

Que es Drive-by-Download



Drive-by-Download = infección a través de sitios web

Las técnicas invasivas que en la actualidad son utilizadas por códigos maliciosos para llegar hasta la computadora de los usuarios, son cada vez más sofisticadas y ya no se limitan al envío de malware a través de spam o clientes de mensajería instantánea.

Un claro ejemplo de esta situación, lo constituye la metodología de ataque denominada Drive-by-Download que permite infectar masivamente a los usuarios simplemente ingresando a un sitio web determinado. Mediante esta técnica, los creadores y diseminadores de malware propagan sus creaciones aprovechando las vulnerabilidades existentes en diferentes sitios web e inyectando código dañino entre su código original.

Por lo general, el proceso de ataque se lleva a cabo de manera automatizada mediante la utilización de herramientas que buscan en el sitio web alguna vulnerabilidad y, una vez que la encuentran, insertan un script malicioso entre el código HTML del sitio vulnerado.

Para una mejor comprensión, las facetas en las cuales se desarrolla el Drive-by-Download, se representan a través de los siguientes gráficos:

Al comenzar el proceso, el usuario malicioso (atacante) inserta en la página web vulnerada un script malicioso y luego el proceso continúa de la siguiente manera:

1. Un usuario (víctima) realiza una consulta (visita la página) al sitio comprometido.
2. El sitio web consultado (servidor o aplicación web vulnerable) devuelve la petición (visualización de la página) que contiene embebido en su código al script dañino previamente inyectado.
3. Una vez descargado dicho script al sistema de la víctima, éste realiza una nueva petición a otro servidor (Hop Point). Esta petición es la solicitud de diversos scripts con exploits.
4. Estos exploits tienen el objetivo de comprobar si en el equipo víctima existe alguna vulnerabilidad que pueda ser explotada. Se intentan explotar diversas vulnerabilidades, una tras otra, hasta que alguna de ellas tenga éxito.
5. En caso de encontrarse alguna vulnerabilidad, se ejecutará un script que invoca la descarga de un archivo ejecutable (malware) desde otro servidor (o desde el anterior).

En consecuencia, la infección del equipo se habrá llevado a cabo a través de vulnerabilidades en el sistema del usuario.

Es importante destacar que la mayoría de las vulnerabilidades explotadas ya han sido solucionadas hace tiempo por el fabricante del software, pero su explotación tiene éxito porque el usuario no ha parcheado su sistema. El único caso en que el usuario no será infectado es aquel en que el sistema se encuentre totalmente parcheado y ninguna vulnerabilidad pueda sea explotada.

El código dañino por dentro

Los script maliciosos involucrados en ataques Drive-by-Download utilizados para propagar malware, generalmente contienen uno o varios exploit asociados a una URL cuyo código es, en definitiva, quien comprueba la existencia de vulnerabilidades en el sistema víctima para luego explotarlas.

Esta metodología es ampliamente utilizada en este tipo de ataques y consiste en la inserción de, por ejemplo, un tag (etiqueta) iframe. La etiqueta iframe posibilita la apertura de un segundo documento web, pero dentro de la página principal invocada por el usuario.

Para evitar que el usuario visualice la apertura de esa segunda página, la misma generalmente es abierta dentro de un marco de 0x0 pixel ó 1x1 pixels.

La siguiente imagen ilustra de qué manera se ve una etiqueta iframe dañina embebida en el código fuente de una página web vulnerada:

Cuando el usuario ingresa a determinada página web vulnerada, paralelamente se abre de manera transparente la segunda página web contenida en la etiqueta iframe quien, a su vez, invocará la descarga y ejecución de un código malicioso.

Este tipo de metodologías de infección es cada vez más común de encontrar en sitios de cualquier índole; desde sitios web de empresas con administración deficiente, que no son mantenidos de forma apropiada, o en aquellos blogs, CMS o foros que contienen vulnerabilidades en su código fuente y son hallados por los atacantes.

Anteriormente, en el año 2007, se pirateó el sitio web del Bank of India mediante un sofisticado ataque que utilizó múltiples desvíos que llevaban a los usuarios de Windows a un servidor que alojaba un archivo de gusano de correo, dos rootkits invisibles, dos troyanos descargadores, y tres troyanos puerta trasera. El ataque combinó un ofuscamiento JavaSript, múltiples saltos desviadores, y técnicas fast-flux para evitar detecciones y mantener en línea a los servidores pirata durante el ataque. La siguiente Imagen muestra una captura de pantalla del sitio web pirateado del Bank of India con el script malicioso usado para lanzar el ataque de descarga drive-by.


Estos son sólo un par de ejemplos para mostrar la gravedad del problema al que enfrentan los sitios web legítimos.

Algunas Recomendaciones que previenen ataques

Las mejores prácticas de navegación constituyen reglas básicas que todo usuario debería adoptar para experimentar una navegación mucho más segura. A continuación, se proponen algunas Recomendaciones que ayudarán en la prevención y fortalecimiento del sistema:

• Implementar una solución de seguridad antivirus con capacidades de detección proactiva como ESET NOD32, Avira y Kaspersky que, a través de mecanismos de Heurística Avanzada, permita detectar códigos maliciosos desconocidos.
• Mantener todas las aplicaciones, incluso el programa antivirus, actualizadas con los parches de seguridad. Por lo general, las aplicaciones incluyen una opción que permite comprobar la existencia de nuevas actualizaciones.
• Del mismo modo, siempre se debe tener presente actualizar el sistema operativo con los últimos parches de seguridad.
• Evitar hacer clic sobre enlaces desde páginas web de procedencia dudosa o que se encuentren incrustados en el cuerpo de correos electrónicos, prestando especial atención al correo electrónico no deseado (spam).
• Verificar hacia dónde redireccionan los enlaces. Con sólo pasar el cursor sobre el enlace, es posible visualizar desde la barra de estado hacia qué sitio web redirecciona el vínculo.
• El bloqueo de determinados sitios considerados maliciosos, ya sea porque descargan malware o porque contienen material de dudosa reputación, es también otra de las mejores prácticas que ayudan a la prevención y refuerzan la seguridad del equipo.
• En caso de ser administrador de un sitio web, realizar la actualización de todas las aplicaciones web y controlar las mismas para localizar cualquier tipo de script que pueda haber sido insertado por terceros.

Debido a la naturaleza de los ataques y las capacidades dañinas que representan al malware actual, es de vital importancia realizar prácticas de navegación seguras.

No hay comentarios:

Publicar un comentario en la entrada