virologia
Páginas: 8 (1972 palabras)
Publicado: 23 de diciembre de 2013
MalwareIntelligence
Análisis de un ataque de malware
basado en web
1
Jorge Mieres | MalwareIntelligence | jamieres@malwareint.com
http://www.malwareint.com | Todos los derechos reservados | Febrero, 2009
Contenido
Introducción, 3
El proceso de ataque, 4
Referencias, 9
Sobre MalwareIntelligence, 10
IMPORTANTE: el presente documento es de índole técnico y posee informaciónrelacionada a direcciones web,
direcciones IP, rutas de descarga de binarios, entre otros; que guardan relación directa con las estrategias de
infección y los procesos delictivos llevados a cabo por delincuentes informáticos.
Por lo tanto, se recomienda el uso responsable de la información proporcionada en el presente, quedando bajo la
exclusiva y única responsabilidad del lector cualquierinconveniente que pueda surgir en función de la manipulación
inadecuada y mala utilización de los datos expuestos.
Asimismo, el documento posee información exacta de los resultados arrojados del estudio realizado. Por lo tanto, y
por la misma naturaleza del proceso de investigación, no se ha proporcionado el 100% de los datos recabados; sin
embargo, más datos se encuentran disponibles enviando lasolicitud al autor del informe.
2
Introducción
Internet se ha transformado en una aliada plataforma de ataque para los creadores de
malware, quienes a través del empleo de diferentes técnicas tales como Drive-by-Download,
Drive-by- Update, scripting, exploit, entre otros, y la combinación de ellos, buscan reclutar todo
un ejercito de computadoras que respondan sólo a sus instruccionesmaliciosas.
Estos ataques, empleando Internet como base para ejecutar cargas dañina de manera directa
sobre el sistema víctima, de forma paralela, casi instantánea y transparente a la vista de los
usuarios menos experimentado, se ha convertido en un latente y peligroso riesgo de infección
por el simple acto de acceder a un sitio web.
En el siguiente documento se expone un ejemplo concreto querecurre a las acciones antes
mencionadas para explotar e infectar un sistema víctima, describiendo también varias
características extras que potencian el daño del malware.
The document can be downloaded from:
English version
http://www.malwareint.com/docs/myloader-oficla-analysis-en.pdf
Spanish version
http://www.malwareint.com/docs/myloader-oficla-analysis-es.pdf
3
El proceso de ataqueLa situación podría ser la siguiente: como habitualmente lo hace, un usuario accede a su casilla
de correo electrónico para chequear sus mensaje; entre ellos, encuentra uno de bajo un
atractivo asunto lo insita a abrirlo. El usuario abre el correo en cuestión, y encuentra en el
cuerpo del mensaje un enlace incrustado.
El usuario, hace clic sobre dicho enlace para acceder al sitio que seespecifica en el cuerpo del
mensaje. Cuando el navegador web accede al dominio en cuestión, el usuario sólo visualiza una
página en blanco que únicamente contiene “dos líneas”; en consecuencia, cierra el navegador
suponiendo que el contenido de la página ya no se encuentra disponible.
Sin embargo, lejos de suceder lo que el usuario supone, en segundo plano se llevan a cabo
actividades totalmentetransparentes. La página posee componentes maliciosos que intentaran
explotar en el equipo de la víctima.
Al acceder a la página maliciosa, un script ejecuta de manera transparente varias etiquetas
iframes que posibilita la apertura en segundo plano de otros sitios web, esta técnica es
conocida como Drive-by-Download; y un exploit diseñado para aprovechar una vulnerabilidad
en el servicio deservidor de plataformas Windows que no trata correctamente una petición RPC
especialmente creada.
Dicha vulnerabilidad es explicada en el boletín MS08-067, y un dato interesante radica en que,
actualmente, la vulnerabilidad mencionada es activamente explotada por el gusano
Downadup/Conficker con una tasa de infección muy alta.
En el script, se encuentra embebida la referencia hacia un...
Análisis de un ataque de malware
basado en web
1
Jorge Mieres | MalwareIntelligence | jamieres@malwareint.com
http://www.malwareint.com | Todos los derechos reservados | Febrero, 2009
Contenido
Introducción, 3
El proceso de ataque, 4
Referencias, 9
Sobre MalwareIntelligence, 10
IMPORTANTE: el presente documento es de índole técnico y posee informaciónrelacionada a direcciones web,
direcciones IP, rutas de descarga de binarios, entre otros; que guardan relación directa con las estrategias de
infección y los procesos delictivos llevados a cabo por delincuentes informáticos.
Por lo tanto, se recomienda el uso responsable de la información proporcionada en el presente, quedando bajo la
exclusiva y única responsabilidad del lector cualquierinconveniente que pueda surgir en función de la manipulación
inadecuada y mala utilización de los datos expuestos.
Asimismo, el documento posee información exacta de los resultados arrojados del estudio realizado. Por lo tanto, y
por la misma naturaleza del proceso de investigación, no se ha proporcionado el 100% de los datos recabados; sin
embargo, más datos se encuentran disponibles enviando lasolicitud al autor del informe.
2
Introducción
Internet se ha transformado en una aliada plataforma de ataque para los creadores de
malware, quienes a través del empleo de diferentes técnicas tales como Drive-by-Download,
Drive-by- Update, scripting, exploit, entre otros, y la combinación de ellos, buscan reclutar todo
un ejercito de computadoras que respondan sólo a sus instruccionesmaliciosas.
Estos ataques, empleando Internet como base para ejecutar cargas dañina de manera directa
sobre el sistema víctima, de forma paralela, casi instantánea y transparente a la vista de los
usuarios menos experimentado, se ha convertido en un latente y peligroso riesgo de infección
por el simple acto de acceder a un sitio web.
En el siguiente documento se expone un ejemplo concreto querecurre a las acciones antes
mencionadas para explotar e infectar un sistema víctima, describiendo también varias
características extras que potencian el daño del malware.
The document can be downloaded from:
English version
http://www.malwareint.com/docs/myloader-oficla-analysis-en.pdf
Spanish version
http://www.malwareint.com/docs/myloader-oficla-analysis-es.pdf
3
El proceso de ataqueLa situación podría ser la siguiente: como habitualmente lo hace, un usuario accede a su casilla
de correo electrónico para chequear sus mensaje; entre ellos, encuentra uno de bajo un
atractivo asunto lo insita a abrirlo. El usuario abre el correo en cuestión, y encuentra en el
cuerpo del mensaje un enlace incrustado.
El usuario, hace clic sobre dicho enlace para acceder al sitio que seespecifica en el cuerpo del
mensaje. Cuando el navegador web accede al dominio en cuestión, el usuario sólo visualiza una
página en blanco que únicamente contiene “dos líneas”; en consecuencia, cierra el navegador
suponiendo que el contenido de la página ya no se encuentra disponible.
Sin embargo, lejos de suceder lo que el usuario supone, en segundo plano se llevan a cabo
actividades totalmentetransparentes. La página posee componentes maliciosos que intentaran
explotar en el equipo de la víctima.
Al acceder a la página maliciosa, un script ejecuta de manera transparente varias etiquetas
iframes que posibilita la apertura en segundo plano de otros sitios web, esta técnica es
conocida como Drive-by-Download; y un exploit diseñado para aprovechar una vulnerabilidad
en el servicio deservidor de plataformas Windows que no trata correctamente una petición RPC
especialmente creada.
Dicha vulnerabilidad es explicada en el boletín MS08-067, y un dato interesante radica en que,
actualmente, la vulnerabilidad mencionada es activamente explotada por el gusano
Downadup/Conficker con una tasa de infección muy alta.
En el script, se encuentra embebida la referencia hacia un...
Leer documento completo
Regístrate para leer el documento completo.