Techie Blog El blog de noticias, tecnologías y tendencias de E.D.S.I. Trend Argentina

19oct/11Off

Sistemas de direccionamiento de tráfico como método de infección

Hace unos días atrás se celebró en Barcelona la conferencia internacional de Virus Bulletin en donde muchos especialistas presentaron papers acerca de sus investigaciones más relevantes. Obviamente, me puse a leer algunos y me llamó mucho la atención una presentación en especial que hablaba acerca de los “sistemas de direccionamiento de tráfico” o Traffic Direction System.

El paper original de Maxim Goncharov, puede encontrarse en: http://www.virusbtn.com/pdf/conference_slides/2011/Goncharov-VB2011.pdf

El tráfico web, como lo conocemos convencionalmente, es algo bastante sencillo de explicar. Un usuario pide una página a un servidor web y este le devuelve el contenido solicitado. Podríamos agregar un poco de inteligencia a este esquema básico, poniendo entre el usuario y la página de destino  un pequeño script que dirija la petición del usuario a una página dependiendo de algún atributo básico, por ejemplo, el lenguaje del usuario. De esta manera, un usuario podría ingresar al sitio ejemplo.com y un pequeño script redirige al usuario a es.ejemplo.com si habla español o a en.ejemplo.com si habla inglés. Ahora, si a este pequeño script le damos un poco de anabólicos, base de datos, estadísticas, filtros y un panel de control, vamos a tener como resultado  un Traffic Direction System

Los Traffic Direction System son utilizados como páginas de lanzamiento que redirigen el tráfico a contenidos malicioso basándose en algunos criterios como pueden ser:

  • IP de origen de la conexión
  • Sistema operativo
  • Navegador
  • URL de referencia
  • Ubicación Geográfica
  • Plug-ins instalados del navegador
  • Tipos de archivos aceptados por el navegador
  • otros

Usualmente se utilizan sistemas de direccionamiento de tráfico (SDT) en conjunto con sites que fueron previamente comprometidos por presentar alguna vulnerabilidad. Una vez hackeados, estos sites pasaran a contener código adicional en sus páginas referidos a IFrames, un tag especial de HTML que permite a los diseñadores insertar nuevas páginas en marcos directamente sobre la página, sin necesidad de partir en distintos marcos la totalidad del contenido. Estos códigos insertados entre tags IFrame redirigirán el tráfico a un SDT y este se encarga de dirigirlo, según los datos de la petición HTTP, hasta una página especialmente diseñada con contenido dirigido o para explotar alguna vulnerabilidad de ese conjunto de características.

Tomemos como ejemplo el siguiente encabezado HTTP

GET /1/1/typical.php HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, application/x-shockwave-flash, */*
Referer: http://www.ejemplo.com/news
Accept-Language: en-us
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR2.0.50727)
Host: www.sitio.com
Connection: Keep-Alive

En este encabezado podemos ver que el usuario fue dirigido desde el site ejemplo.com (Referer), utiliza Microsoft Internet Explorer 7.0 sobre Windows XP. De esta manera, puedo redirigir a este usuario particular a un sitio especialmente armado para explotar una vulnerabilidad de la plataforma encontrada, por ejemplo, utilizando Mpack.

Además de redirigir el tráfico, un buen sistema de SDT, puede dificultar muchísimo la tarea de los investigadores de malware ya que usualmente, un analista de seguridad tiene como práctica solo realizar una prueba con un sistema. Esto quiere decir, que por ejemplo, si recibimos un aviso acerca de un site comprometido, cuya finalidad es capturar e infectar usuarios de Europa, nosotros desde Argentina jamás podremos ver toda la carga maliciosa real de la amenaza ya que seremos filtrados (por IP, regionalización [Accept-Language] e inclusive huso horario). De esta manera, un analista podría intentar llegar al site, tratando de ser un usuario común y el sistema de SDT, le mostraría como destino de su petición un servidor vacío.

Adicionalmente, a modo de negocios del underground, supongamos que alguien compromete un site que tiene gran repercusión dentro de Sudamérica. Sin embargo, este hacker  (o mejor dicho, grupo de underground) solo está interesado en comprometer usuarios de Argentina armará sus servidores para alojar su malware. A pesar de lograr sus infecciones, el grupo puede observar en las estadísticas del SDT (si, tienen paneles de control con estadísticas muy detalladas) que obtiene mucho tráfico de otros países de la región. Este grupo podría vender el tráfico a otros grupos o empresas que necesiten posicionar un malware o producto en estos otros países, logrando de esta manera un alto grado de “rentabilidad” sobre el site afectado.

Mientras existen varias actividades de malware asociadas a IPs utilizadas comúnmente, es importante destacar que no siempre las relaciones de las actividades son claras. Los nombres de dominio que generalmente aparecen en las amenazas pueden ser vendidos o utilizados por alguien más. Inclusive, muchos sitios que alojan malware pueden estar alojados en la misma IP, especialmente cuando estas IPs pertenecen a “hostings para crimeware” (en donde la legislación vigente no es muy clara o directamente nula).

En resumidas cuentas, un Traffic Direction Service, le permite al underground realizar negocios de una nueva forma, dificultando la observación y el análisis por parte de la industria de seguridad, obteniendo tráfico legítimo  desde sitios afectados y combinando sus objetivos.


¿Te gustó este artículo?

¡Suscríbete a nuestro feed RSS!

Publicado por Maximiliano Cittadini

Comentarios (0) Trackbacks (0)

Lo sentimos, los comentarios están cerrados por ahora.

Aún no hay trackbacks.

Arriba ↑