Análisis de ataques de malware

October 12, 2017
Análisis de malware

Recientemente, hemos visto un aumento masivo de los ataques de malware. Los piratas informáticos encuentran puntos débiles (vulnerabilidades) en el sistema o la aplicación, los explotan para obtener acceso y terminan infectándolos con malware. El ataque suele estar dirigido a un gran público, es decir, a usuarios legítimos del sitio web. El malware se puede propagar por varios medios: adjuntando un correo electrónico, descargando un archivo, utilizando JavaScript al cargar la página, enlaces rotos, redireccionamientos de páginas, etc.

En una actividad reciente de análisis de malware, noté que un hacker adoptaba un enfoque diferente para infectar el sitio web. Un hacker aprovechó una débil credencial de FTP para acceder a carpetas web y a archivos compatibles con aplicaciones infectadas, es decir, archivos js, cs y html, en lugar de infectar las páginas principales de la aplicación. La secuencia de comandos maliciosa se ejecuta en el navegador del usuario, crea una ventana emergente inevitable de Microsoft Essentials y, a continuación, la ventana emergente desaparece cuando el usuario hace clic en el botón «Aceptar». Este script también ejecutaba una función desde la página que transfería de forma silenciosa todas las sesiones válidas abiertas en las mismas pestañas del navegador al sitio web del atacante. Finalmente, se comprometió la cuenta de usuario mediante el secuestro de la sesión. ¡Piense en un sitio web menos seguro que envía las credenciales de autenticación en forma de cookie!

Este ataque tenía dos puntos interesantes:

  • El atacante inyectó el código malicioso en formato codificado en Base64 e hizo referencia a la función de decodificación desde el archivo para que fuera comprensible para el navegador.
  • El atacante infectó muy pocos archivos compatibles con las aplicaciones, ignorando todos los archivos de la aplicación para evitar la detección de malware
  • El ataque fue identificado y notificado por un usuario legítimo, que sabía algo sobre seguridad, al darse cuenta de que Microsoft Essential no estaba instalado en su sistema.

Los pasos: análisis de la causa raíz

El análisis del malware requiere esfuerzo, tiempo, habilidad y un conocimiento mínimo de la aplicación. A continuación, se incluyen algunas preguntas obligatorias que se deben hacer antes de realizar la RCA en un sitio web:

  • ¿Cuántos puntos de entrada tiene su solicitud?
  • ¿Tiene registros del sistema y de las aplicaciones?
  • ¿Por qué sospecha que su sitio web está infectado?
  • ¿Cómo administras tu sitio web?

Después de recopilar estas respuestas, encontrará una dirección en la que debe buscar. Pida al propietario del sitio web los archivos de la aplicación web, los registros de las aplicaciones, los registros del sistema y los registros del firewall, si los hay. El siguiente paso es adaptar el enfoque de análisis:

  • Identifique y bloquee el acceso de piratas informáticos a su servidor
  • Haga una copia de seguridad del código infectado antiguo
  • Identifique la actividad/acción del malware, como instalar una puerta trasera, robar una cookie de sesión, redireccionamientos falsos, etc.
  • Replique el ataque de malware por su parte para verificar el comportamiento del malware
  • Analice todos los archivos de la aplicación en busca de scripts inyectados maliciosos. El tamaño del archivo de código puede darte una idea de qué archivos están infectados. En mi caso, el tamaño del código de cada archivo infectado aumentó en 2 KB en comparación con el archivo original
  • Elimine el script malicioso de todos los archivos infectados
  • Escanee la carpeta de su sitio web con una herramienta de detección de malware y antivirus
  • Audite su servidor con Autoruns herramienta - Internos del sistema
  • Haga que los archivos de su aplicación limpios se publiquen asegurándose de que el sitio web funcione perfectamente como antes. Busque cada página cargada, imagen y botón que debe estar en su lugar
  • Escanea tu sitio web con McAfee SiteAdvisor para garantizar que no haya malware en el sitio web
  • Emitir una guía de mejores prácticas

Los piratas informáticos siempre están huyendo con nuestra propia tecnología en evolución. Tenga cuidado para estar seguro.

Share this post
Seguridad de Wordpress
Análisis de malware
Herramientas y técnicas
Pentestes
PTAAS
Suscríbase a nuestro boletín

Suscríbase a nuestro boletín hoy mismo y mejore sus conocimientos con información valiosa. ¡Es rápido, fácil y gratuito!

Be a Team Player
¡Gracias! ¡Su presentación ha sido recibida!
¡Uy! Algo salió mal al enviar el formulario.
Latest blogs

Latest updates in cybersecurity services

View All
Blacklock Blog Image