miércoles, septiembre 18, 2013

¡Cuidado no te infecte un archivo TXT!

Supongo que todos estáis acostumbrados al sistema de utilización de nombres de archivo con extensiones. Esa forma tan curiosa de identificar el contenido de un determinado fichero por medio de una cadena de caracteres detrás del punto que supuestamente informa al usuario de lo que se va a encontrar dentro.

Las extensiones y el malware

Uno de los trucos que más veces ha utilizado la industria del malware utilizado para el mundo del e-crime y el fraude online ha sido la de usar programas ejecutables para sistemas Microsoft Windows y sistemas Mac OS X que utilizan dobles extensiones. Algo como tu_documento.pdf.scr y que permite sacar provecho de la asociación por defecto de programas o comportamientos a extensiones de ficheros.

Figura 1: Truco de la doble extensión en Apple Safari 5.0.4 para Microsoft Windows

Aún más elaborado han sido aquellos que han hecho uso de las extensiones escritas con caracteres en codificación right-to-left para que parte de los caracteres se escribieran de derecha a izquierda, algo que hemos visto muy habitualmente en Windows, pero también en malware para sistemas Mac OS X como el caso de OSX/Janicap.

Figura 2: El archivo del medio es el archivo de la derecha per con codificación Right-to-Left

Por supuesto, éste es un tema que Sergio de los Santos aborda en su libro "Máxima Seguridad en Windows" como aviso para navegantes confiados en "el sentido común" y en revisar con cuidado las extensiones de lo que ejecutan en su sistema.

Las extensiones y los servidores Web

El uso de un las extensiones y el sentido común a la hora de descargarse archivos es mucho peor aún cuando hablamos de ficheros enviados desde servidores web, ya que cualquier extensión de un archivo que veas en la URL puede ser cualquier cosa. Esto, los usuarios más avezados ya lo saben, pero puede que si no estás acostumbrado a configurar servidores web no te lo hayas planteado nunca.

El cambio de extensión de los ficheros en un servidor web se puede utilizar como forma de fortificar servidores Linux, en concreto en la fortificación de Apache, para evitar salir en los resultados de las búsquedas hechas mediante dorks que hacen aquellos que realizan la fase de localización de objetivos con técnicas de hacking de búscadores.

Su objetivo es encontrar de forma automatizada muchas víctimas que tengan un determinado bug de LFI, RFI, una versión vulnerable de WordPress o un bug común de SQL Injection, en códigos PHP, ASP o CFM. Esto lo hemos visto en cientos de operaciones de distribución masiva de malware, que se han llevado por delante a grandes sitios web como el de Apple.com en la operación Lizamoon, por ejemplo.

Figura 3: Sitios de Apple.com infectados por ataque automatizado con dorks

Para evitar salir en estos resultados, el equipo de administración del servidor web puede cambiar las extensiones conocidas, como PHP o ASP, por valores genéricos como APP, APL, o PRO, o lo que sea. Además de poder quitar las extensiones con un mod_rewrite en Apache, y evitar así aparecer en los resultados de las búsquedas automatizadas con dorks.

BlackSEO, Honey Pots y distribución de malware

Por supuesto, este cambio de extensión en programas de servidores web se hace no sólo para evitar ataques, sino para justo lo contrario, para colarse en los resultados de búsquedas intencionadamente, como por ejemplo en resultados de búsquedas de ficheros .Torrent, o lo que sea, con el objetivo de hacer BlackSEO o distribuir malware envenenando un determinado resultado.

Probando la búsqueda de un fichero .TXT que genera el script Fantastico y que deja el listado de los archivos que tiene un directorio web - algo similar a un fichero .listing - saltó una alerta antimalware en todos los navegadores.

Figura 4: Alerta al acceder a un fichero .TXT

El fichero - llamado fantastico_filelist.txt - deja un listado de ficheros "fantástico", que por supuesto hemos añadido a nuestro Servicio de Pentesting Continuo en Faast, debido a la fuga de información que supone para un sitio web, pero al ver esa alerta, decidí antes contaros algo sobre las extensiones para que estuvierais avisados.

Figura 5: Fichero Fantastico_filelist.txt de un sitio web

Cuando sale una alerta cómo la que os he enseñado, puede ser porque en algún otro lugar el sitio ha hecho algo malo, y no tiene que significar que ese fichero en concreto te ataque, pero cualquier extensión de fichero servida desde un servidor web podría hacerlo, así que, avisado estás. ¡Cuidado no te infecte un archivo TXT!

Saludos Malignos!

2 comentarios: