El ataque de descargas inadvertidas más conocido como "drive-by downloads" ya se comentó en nuestro blog en cuanto a su funcionamiento. Pero nunca está de más realizar una pequeña aproximación para comprobar que realizan estos ataques en nuestros equipos.

Las técnicas actuales para distribuir malware se pueden dividir en dos categorías principales:

  • Técnicas de ingeniería social: usadas por los atacantes para que el usuario se descargue y ejecute el malware. Todos hemos visto páginas con dudosos métodos de análisis informándonos de que nuestro equipo está plagado de virus y necesitamos descargarnos un soft{mal}ware para dejar nuestro equipo más limpio que el cuello de un sacerdote.
  • Aprovechamiento de vulnerabilidades del navegador: Es el método más enrevesado y totalmente transparente para nosotros los usuarios. También es el método de infección más común tal y como se muestra en el gráfico de abajo. Consultad el paper "All your iFRAMEs point to us" para más detalles de cómo funcionan y la infraestructura que lo sustenta.





Según el informe "Digital World, Digital Life", pasamos un 30% de nuestro tiempo libre navegando por internet. Imaginad una situación corriente, navegando por nuestro portal favorito de noticias, pulsamos sobre ese enlace que nos lleva a la fuente original, ahora este otro para ver comentarios y así sucesivamente hasta terminar con decenas de páginas visitadas. Una de estas tantas páginas que hemos visitado apenas unos segundos, nos ha dejado un regalito MADE IN LOS MALOS.

Lo que ahora mostramos es un pequeño ejemplo real de lo que paso en nuestro equipo "controlado" simplemente por visitar una web que contenía un ataque de este tipo y sin realizar ninguna acción por nuestra parte, apenas estuvimos visitándola durante 30 segundos y esto es lo que nos hizo:

1. El proceso iexplore.exe creó el binario C:\WINDOWS\Temp\svhost32.exe
2. Este binario se encargó de modificar varias entradas del registro para:
Deshabilitar la cache: "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Shell Folders\Cache"
Deshabilitar cookies: "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Shell Folders\Cookies"
Deshabilitar historial: "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Shell Folders\History"
Habilita la navegación por proxy: "SetValueKey","HKLM\SYSTEM\ControlSet001\Hardw are Profiles\0001\Software\Microsoft\windows\CurrentVe rsion\Internet Settings\ProxyEnable"
Configurar un proxy: "HKCU\Software\Microsoft\Windows\CurrentVersion\In ternet Settings\ProxyServer"
Y crear el fichero: "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5 \1YMCNUWN\hosts[1].txt"
3. No contento con todo esto también se creo el binario c:\i1gb0a.exe que a su vez se encargó de crear otro binario sdra64.exe con otras pretensiones.


Todo lo anterior se creó en nuestro S.O sin nuestro consentimiento ni conocimiento. El análisis de la secuencia total de lo ocurrido así como de los archivos, conexiones y binarios creados conlleva un esfuerzo de horas de trabajo fuera del alcance de este post.

El objetivo de este post es concienciar a las 2 principales víctimas sobre la existencia de este tipo de ataques; nosotros los usuarios y a los responsables de las webs que sin percatarse de ello favorecen la difusión de este tipo de contenido malicioso.


Cómo ya comentó Elvira en el post "Drive-by downloads" el dejar de visitar sitios de contenido para adultos apenas disminuye las posibilidades de sufrir uno de estos ataques. Cualquier web del estilo que sea puede contenerlo. Uno de los consejos que suele funcionar es navegar con software totalmente actualizado para que estas webs no se puedan aprovechar de una vulnerabilidad de nuestro navegador o alguno de sus plugins, principales vectores de entrada de estos ataques.

En cuanto a los responsables de sitios web, vigilad el código de vuestros sitios, especialmente los iFRAMES, y los logs y estadísticas de tráfico son una buena fuente para busar patrones sospechosos de que algo ocurre antes de que nos denuncien por colaborar con nuestra web en la difusión de contenido malicioso o peor aún, ensuciar nuestra imagen de confianza.

Emilio Casbas
S21sec e-crime
http://blog.s21sec.com/2009/09/drive-by-ejemplo.html