miércoles, julio 31, 2013

jTrypanosoma: WebBotnets Research Project

Hoy en día las botnets basadas en ataques XSS (Cross-Site Scripting) son bastante comunes, y hay varios proyectos que atacan esa disciplina. La idea es encontrar sitios web que tengan vulnerabilidades XSS e infectarlas con un bot en JavaScript que se ejecute cada vez que un navegador cargue esa página. Tanto si es un XSS Persistente, XSS "Google Persistente"  como un XSS reflejado, estos bugs podrían servir para este propósito de cargar el bot en JavaScript que se conectará con el C&C y cargará los payloads.

Sin embargo, la primera vez que leí un trabajo de esto fue en el año 2008 - hace ya casi 5 años - cuando era miembro del equipo revisor de un congreso académico en Argentina llamado JAIIO, en el que se presentó este trabajo titulado Webbotnets, la amenaza fantasma.

Figura 1: Sitio web del proyecto JTrypanosoma dedicado a WebBotnets

En el se planteaba el uso de tecnologías web para infectar y controlar las máquinas de los clientes mediante ataques basados en lenguajes JavaScript, algo que nosotros usamos posteriormente en el estudio de Owning Bad Guys {and mafia} using JavaScript Botnets por medio de un Rogue Proxy,  que ha utilizado malware como el porting del virus de la policía a navegadores Apple Safari, y que incluso se han planteado como una botnet de crimeware.

Figura 2: JavaScript WebBotnet de gsi2ufasta

El proyecto JTrypanosoma parece bastante abandonado a día de hoy, y los avances en los ataques client-side para hacer WebBotnets han avanzado mucho, con la existencia de frameworks avanzados como BeEF que pueden sacar partido de bugs de clickjacking en plugins de renombre para grabarte con la webcam desde el navegador o los estudios de Mario Heiderich para usar otros lenguajes de Script que también funcionan en el navegador en ataques dirigidos.


Pero, como nunca hablé de este proyecto y lo he visto utilizado en un trabajo reciente titulado "Detección de Botnets basada en algoritmos genéticos", he decidido hacerlo antes de que se pierda definitivamente la documentación que generaron en él.

Figura 4: Paper de WebBotnets, la amenaza fantasma

Creo que se merece que leáis el paper - del año 2008 -, descarguéis la documentación por si es de utilidad y veáis la presentación que hicieron de este trabajo: Webbotnets, la amenaza fantasma.

Saludos Malignos!

3 comentarios:

Miquel dijo...

XSS en Madrid 2020
Usan Wordpress 3.3

pastebin (punto) com (barra) zXNUC1RE

leandro_tami dijo...

Hola Chema! Soy Leandro, uno de los participantes en el proyecto jTrypanosoma. Es muy gratificante y un honor que hayas dedicado este articulo a nuestro trabajo! :) Nos gustó mucho esta temática, y nos sigue gustando, pero diversos motivos nos llevaron a dedicarnos a otras cosas. Espero algún día poder dedicarme a mejorar ese trabajo!

Anónimo dijo...

Joder Chema, pones demasiadas cosas en negrita. A ver cuándo te pasas a los blancos. xD

Entradas populares