Las extensiones y el malware
Uno de los trucos que más veces ha utilizado la industria del malware utilizado para el mundo del e-crime y el fraude online ha sido la de usar programas ejecutables para sistemas Microsoft Windows y sistemas Mac OS X que utilizan dobles extensiones. Algo como tu_documento.pdf.scr y que permite sacar provecho de la asociación por defecto de programas o comportamientos a extensiones de ficheros.
 |
| Figura 1: Truco de la doble extensión en Apple Safari 5.0.4 para Microsoft Windows |
Aún más elaborado han sido aquellos que han hecho uso de las extensiones escritas con caracteres en codificación right-to-left para que parte de los caracteres se escribieran de derecha a izquierda, algo que hemos visto muy habitualmente en Windows, pero también en malware para sistemas Mac OS X como el caso de OSX/Janicap.
 |
| Figura 2: El archivo del medio es el archivo de la derecha per con codificación Right-to-Left |
Por supuesto, éste es un tema que Sergio de los Santos aborda en su libro "Máxima Seguridad en Windows" como aviso para navegantes confiados en "el sentido común" y en revisar con cuidado las extensiones de lo que ejecutan en su sistema.
Las extensiones y los servidores Web
El uso de un las extensiones y el sentido común a la hora de descargarse
archivos es mucho peor aún cuando hablamos de ficheros enviados desde
servidores web, ya que cualquier extensión de un archivo que veas en la URL
puede ser cualquier cosa. Esto, los usuarios más avezados ya lo saben,
pero puede que si no estás acostumbrado a configurar servidores web no
te lo hayas planteado nunca.
El cambio de extensión de los ficheros en un servidor web se puede utilizar como forma de fortificar servidores Linux, en concreto en la fortificación de Apache, para evitar salir en los resultados de las búsquedas hechas mediante dorks que hacen aquellos que realizan la fase de localización de objetivos con técnicas de hacking de búscadores.
Su objetivo es encontrar de forma automatizada muchas víctimas que tengan un determinado bug de LFI, RFI, una versión vulnerable de WordPress o un bug común de SQL Injection, en códigos PHP, ASP o CFM.
Esto lo hemos visto en cientos de operaciones de distribución masiva de
malware, que se han llevado por delante a grandes sitios web como el de
Apple.com en la operación Lizamoon, por ejemplo.
 |
| Figura 3: Sitios de Apple.com infectados por ataque automatizado con dorks |
Para evitar salir en estos resultados, el equipo de administración del
servidor web puede cambiar las extensiones conocidas, como PHP o ASP, por valores genéricos como APP, APL, o PRO, o lo que sea. Además de poder quitar las extensiones con un mod_rewrite en Apache, y evitar así aparecer en los resultados de las búsquedas automatizadas con dorks.
BlackSEO, Honey Pots y distribución de malware
Por supuesto, este cambio de extensión en programas de servidores web se
hace no sólo para evitar ataques, sino para justo lo contrario, para
colarse en los resultados de búsquedas intencionadamente, como por
ejemplo en resultados de búsquedas de ficheros .Torrent, o lo que sea, con el objetivo de hacer BlackSEO o distribuir malware envenenando un determinado resultado.
Probando la búsqueda de un fichero .TXT que genera el script Fantastico y que deja el listado de los archivos que tiene un directorio web - algo similar a un fichero .listing - saltó una alerta antimalware en todos los navegadores.
 |
| Figura 4: Alerta al acceder a un fichero .TXT |
El fichero - llamado fantastico_filelist.txt - deja un listado de ficheros "fantástico", que por supuesto hemos añadido a nuestro Servicio de Pentesting Continuo en Faast,
debido a la fuga de información que supone para un sitio web, pero al
ver esa alerta, decidí antes contarles algo sobre las extensiones para
que estuvieran avisados.
 |
| Figura 5: Fichero Fantastico_filelist.txt de un sitio web |
Cuando sale una alerta cómo la que les he enseñado, puede ser porque en
algún otro lugar el sitio ha hecho algo malo, y no tiene que significar
que ese fichero en concreto te ataque, pero cualquier extensión de
fichero servida desde un servidor web podría hacerlo, así que, avisado
estás. ¡Cuidado no te infecte un archivo TXT!
No hay comentarios:
Publicar un comentario