|
16 de Septiembre de 2009
Posted in
Hacking -
Hacking Web & E-mail
Tras darnos cuenta de que algo raro está ocurriendo en nuestros ordenadores (lentitud, correos electrónicos tipo SPAM devueltos sin haber sido enviados por nosotros, conexiones a Internet...) y que posiblemente hayamos sido infectados por algún tipo de virus o troyano o malware, nuestro ordenador empieza a realizar sospechosas actividades. Comenzamos a dudar de su integridad: ya no nos obedece solamente a nosotros, ahora también recibe ordenes externas sin nuestra autorización. ¿Qué está pasando? Pero, sobre todo ¿cuándo comenzó a pasar, y cómo nos infectamos sin habernos dado cuenta?
Existen muchas y muy variadas formas y fuentes de infección. Todas ellas tratan de pasar lo más desapercibidas para no levantar sospechas en las víctimas infectadas, ya que si lo hacen, muy probablemente sean eliminadas por los antivirus o por los técnicos que se dedican a limpiar o reinstalar el sistema operativo del ordenador.Una de esas fuentes de infección son los correos electrónicos que incluyen archivos adjuntos infecciosos; archivos como videos en Flash, presentaciones de Powerpoint o simplemente ejecutables disfrazados de otro tipo de aplicaciones. Aunque esta es una gran fuente de infección, suele estar más controlada por los sistemas antivirus, antispam, y por el propio cliente de correo electrónico o por el usuario. No obstante cabe decir que se está profesionalizando la creación y envío de este tipo de correos maliciosos hasta un punto el el que resulta bastante complicado para un usuario medio discernir entre abrirlo o borrarlo directamente.
Pero la verdadera revolución en los últimos dos o tres años, son las páginas Web maliciosas que tras escanear nuestro software, nos inyectan un tipo de programa malware como un troyano. La filosofía de este tipo de infección en sus inicios era utilizar portales de orientación temática un tanto inmoral, como páginas con contenidos sexuales o de descarga de archivos warez, o búsquedas de números de serie de software, etc. Cuando alguen era infectado, el técnico siempre le preguntaba al usuario si había visitado páginas de este tipo. Esta tendencia de utilizar páginas de este tipo, aunque todavía presente, se está modificando hacia otros caminos más complejos.
Actualmente, este procedimiento de difusión e infección se está estructurando de una forma mucho más compleja, en la que están implicadas muchas entidades diferentes. Entidades entre las que cuentan:
Como pueden observar, la esctructura presentada, ya no forma parte de un simple troyano enviado por e-mail a un incauto que lo ejecuta, sino que resulta mucho más extensa. Este artículo no pretende ser un compendio de todo el proceso utilizado para este tipo de infecciones, aunque sí quizás una introducción a ellas.
Para realizar una prueba de concepto, si nos lo permite y confía en nosotros, hemos instalado en este portal comunitario una trampa con varios de los medios de infección via Web de los que disponemos. Pero no se preocupe, ya que el supuesto archivo que vamos a inocular, no es más que una inofensiva broma sin carga maligna alguna. De esta manera podrá comprobar si su navegador y componentes están aunque solo sea, ligeramente actualizados y corregidos sin que llegue a infectarle. He de remarcar, que los medios de infección y los exploits de los que he dispuesto ya están bastante desactualizados y no siempre son eficaces. En muchos casos los he tenido que probar en máquinas virtuales con navegadores viejos como IE6 o versiones no parcheadas de IE7 o Mozilla 2, ya que hoy por hoy son bastante infeficaces. Pero esto no es más que una prueba de concepto, y si su seguridad es buena y está lo suficientemente actualizado, no debe funcionar, por tanto felicítese.
En próximos capítulos iré ahondando más en el funcionamiento interno de esta inofensiva trampa que he montado, describiendo los mecanismos internos a la hora de ejecutar los exploits, que van a permitir inocularle un ejecutable no dañino. Si su antivirus salta, tampoco se preocupe, porque debe de hacerlo, ya que hasta este tipo de archivos "joke" o bromas son catalogados como malware por los antivirus. Si aparece una página de error 404 es normal, es su forma de mostrar una página Web mientras trata de infectarle.
Portales de infección instalados (Debe eliminar los espacios y copiar la dirección en la barra de su navegador para probarlos, ya que no deseamos que Google nos indexe como medios infecciosos):
www.diariodeunhacker.com /hacks/ fiesta-2/
www.diariodeunhacker.com /hacks/ firepack/
www.diariodeunhacker.com /hacks/ ice-pack3/
www.diariodeunhacker.com /hacks/ multisploit/
www.diariodeunhacker.com /hacks/ my-poly-sploit/
Carga instalada: file.exe
Pantalla que debe aparecerle si funciona el exloit:
| < Anterior | Siguiente > |
|---|
Yago Fernández Hansen cuenta con master en ingeniería de software, además de contar con mas de 8 años de experiencia en tecnologías inalámbricas. Es especialista en la implementación y auditoria de redes Wi-Fi. Cuenta con amplia experiencias en motores de datos, sistemas Microsoft, Linux y Networking. Es formador y consultor en seguridad informática y métodos de penetración en redes Wi-Fi para empresas e instituciones. Finalista en el concurso IBM Leonardo DaVinci 1995, cuenta con publicaciones y artículos de informática, además de ser colaborador directo y revisor de publicaciones técnicas de la editorial Rama. Ha impartido diferentes talleres y seminarios de hacking ético y seguridad en Wi-Fi para empresas, organizaciones públicas y universidades.
Conocer mas sobre Yago Fernandez Hansen
