Las técnicas invasivas que en la actualidad son utilizadas por códigos maliciosos para llegar hasta la computadora de los usuarios, son cada vez más sofisticadas y ya no se limitan al envío de malware a través de spam o clientes de mensajería instantánea.
Un claro ejemplo de esta situación, lo constituye la metodología de ataque denominada Drive-by-Download que permite infectar masivamente a los usuarios simplemente ingresando a un sitio web determinado. Mediante esta técnica, los creadores y diseminadores de malware propagan sus creaciones aprovechando las vulnerabilidades existentes en diferentes sitios web e inyectando código dañino entre su código original.
Por lo general, el proceso de ataque se lleva a cabo de manera automatizada (Espero en próximas ocasiones enviar material de cuáles son las técnicas automatizadas de inyección) mediante la utilización de herramientas que buscan en el sitio web alguna vulnerabilidad y, una vez que la encuentran, insertan un script malicioso entre el código HTML del sitio vulnerado.
Para una mejor comprensión, las facetas en las cuales se desarrolla el Drive-by-Download, se representan a través del siguiente gráfico:
Al comenzar el proceso, el usuario malicioso (atacante) inserta en la página web vulnerada un script malicioso y luego el proceso continúa de la siguiente manera:
- Un usuario (víctima) realiza una consulta (visita la página) al sitio comprometido.
- El sitio web consultado (servidor o aplicación web vulnerable) devuelve la petición (visualización de la página) que contiene embebido en su código al script dañino previamente inyectado.
- Una vez descargado dicho script al sistema de la víctima, éste realiza una nueva petición a otro servidor (Hop Point). Esta petición es la solicitud de diversos scripts con exploits.
- Estos exploits tienen el objetivo de comprobar si en el equipo víctima existe alguna vulnerabilidad que pueda ser explotada. Se intentan explotar diversas vulnerabilidades, una tras otra, hasta que alguna de ellas tenga éxito.
- En caso de encontrarse alguna vulnerabilidad, se ejecutará un script que invoca la descarga de un archivo ejecutable (malware) desde otro servidor (o desde el anterior).
En consecuencia, la infección del equipo se habrá llevado a cabo a través de vulnerabilidades en el sistema del usuario.
Es importante destacar que la mayoría de las vulnerabilidades explotadas ya han sido solucionadas hace tiempo por el fabricante del software, pero su explotación tiene éxito porque el usuario no ha parcheado su sistema. El único caso en que el usuario no será infectado es aquel en que el sistema se encuentre totalmente parcheado y ninguna vulnerabilidad pueda sea explotada.
El código dañino por dentro
Los script maliciosos involucrados en ataques Drive-by-Download utilizados para propagar malware, generalmente contienen uno o varios exploit asociados a una URL cuyo código es, en definitiva, quien comprueba la existencia de vulnerabilidades en el sistema víctima para luego explotarlas.
Esta metodología es ampliamente utilizada en este tipo de ataques y consiste en la inserción de, por ejemplo, un tag (etiqueta) iframe. La etiqueta iframe posibilita la apertura de un segundo documento web, pero dentro de la página principal invocada por el usuario.
Para evitar que el usuario visualice la apertura de esa segunda página, la misma generalmente es abierta dentro de un marco de 0x0 pixel ó 1x1 pixels.
La siguiente imagen ilustra de qué manera se ve una etiqueta iframe dañina embebida en el código fuente de una página web vulnerada:
Cuando el usuario ingresa a determinada página web vulnerada, paralelamente se abre de manera transparente la segunda página web contenida en la etiqueta iframe quien, a su vez, invocará la descarga y ejecución de un código malicioso.
Este tipo de metodologías de infección es cada vez más común de encontrar en sitios de cualquier índole; desde sitios web de empresas con administración deficiente, que no son mantenidos de forma apropiada, o en aquellos blogs, CMS o foros que contienen vulnerabilidades en su código fuente y son hallados por los atacantes.
Mejores prácticas que previenen ataques
Las mejores prácticas de navegación constituyen reglas básicas que todo usuario debería adoptar para experimentar una navegación mucho más segura. A continuación, se proponen algunas prácticas que ayudarán en la prevención y fortalecimiento del sistema:
- Implementar una solución de seguridad antivirus con capacidades de detección proactiva, a través de mecanismos de Heurística Avanzada, permita detectar códigos maliciosos desconocidos.
- Mantener todas las aplicaciones, incluso el programa antivirus, actualizadas con los parches de seguridad. Por lo general, las aplicaciones incluyen una opción que permite comprobar la existencia de nuevas actualizaciones.
- Del mismo modo, siempre se debe tener presente actualizar el sistema operativo con los últimos parches de seguridad.
- Evitar hacer clic sobre enlaces desde páginas web de procedencia dudosa o que se encuentren incrustados en el cuerpo de correos electrónicos, prestando especial atención al correo electrónico no deseado (spam).
- Verificar hacia dónde re direccionan los enlaces. Con sólo pasar el cursor sobre el enlace, es posible visualizar desde la barra de estado hacia qué sitio web re direcciona el vínculo.
- El bloqueo de determinados sitios considerados maliciosos (Servicios de reputación Web), ya sea porque descargan malware o porque contienen material de dudosa reputación, es también otra de las mejores prácticas que ayudan a la prevención y refuerzan la seguridad del equipo.
- En caso de ser administrador de un sitio web, realizar la actualización de todas las aplicaciones web y controlar las mismas para localizar cualquier tipo de script que pueda haber sido insertado por terceros. Pueden utilizar herramientas como Firewall Web o Administradores de vulnerabilidades, de los cuales ya he mencionado en alguna ocasión.
Debido a la naturaleza de los ataques y las capacidades dañinas que representan al malware actual, es de vital importancia realizar prácticas de navegación seguras. Recomiendo Next Generation Firewall.
Espero que después de esta lectura puedan entender las técnicas que utilizan los crackers para poder infectar a nuestros usuarios y tomar nuestra red para ser parte de una bot…
