Código legítimo en webs y falsos positivos


Un exploit pack o también conocido como exploit kit es un software desarrollado con fines maléficos. Se compone de una serie de exploits conocidos para diferentes aplicaciones o también zero days, si contiene de estos últimos, el exploit kit estará muy bien cotizado en el mercado underground. Su objetivo es infectar a víctimas para que estas pasen a formar parte de botnets u otros fines fraudulentos. Existe una gran demanda en el mercado underground, no hacen falta muchos conocimientos para ponerlo en marcha, similar a instalar un wordpress, y se administra vía web.





Ejemplo de un panel de exploit kit mostrando estadísticas de infección por navegador
1

Pero únicamente con comprar un exploit kit en el mercado negro, e instalarlo no será suficiente, una de las claves será conseguir tráfico hacia él, bien con técnicas black hat SEO, o directamente inyectando iframes y scripts en webs legítimas que han sido comprometidas y apuntando hacia el exploit kit, formando así lo que se conoce como drive-by downloads, posteriormente las posibilidades de que un sitio legítimo sea penalizado por los sistemas de monitorización de malware en navegadores, seran muy altas. Pero ¿a qué viene todo esto?

Una de las características que más se observa en el código html de estas páginas infectadas es la inyección de etiquetas iframe o script después de la del cierre del html.

2

El estándar para el elemento script dice:

"The SCRIPT element places a script within a document. This element may appear any number of times in the HEAD or BODY of an HTML document."

El hecho de encontrarse un elemento script o iframe después de la etiqueta de cierre del html hará saltar todas las sospechas, y muchos de los motores de análisis de URLs ponderarán de manera muy alta esta situación, llegando incluso a dar falsos positivos en páginas legítimas. Se ha comprobado que algunos sitios mantienen esta mala práctica bien a través de ellos mismos o por desconocimiento mediante widgets de terceros.

Evitad en lo posible situaciones como esas en vuestros sitios web si no quereis llevaros una desagradable sorpresa.

Fuente:
Por Emilio Casbas
http://blog.s21sec.com/



Otras noticias de interés:

Vulnerabilidad en asistente por voz de iPhone 4S
Una de las principales atracciones del iPhone 4S es Siri, su asistente por voz. Según se ha sabido, su configuración por defecto deja el bloqueo de contraseñas del iPhone 4S abierto y, por tanto, vulnerable. ...
Microsoft publicará seis boletines de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan seis boletines de seguridad. Afectan a toda la gama de sistemas operativos Microsoft y Office....
La vulnerabilidad RPC/DCOM sigue vigente
La noticia se ha divulgado en algunos sitios y listas relacionadas con la seguridad, y reportado en BugTraq y Securityfocus por el sitio Security.nnov.ru. Según la información disponible al principio, la falla que permite el uso de este exploit, si...
Microsoft publicará diez boletines de seguridad
Microsoft ha proporcionado un adelanto de los boletines de seguridad que se van a publicar el próximo día 14 de mayo. Un total de diez boletines que cubrirán 33 vulnerabilidades, dos de ellos tendrán un carácter crítico y los ocho restantes est...
EL sitio de la RIAA hackeado.
El site de la RIAA (Recording Industry Association of America) ha sido seriamente alterado, incorporando alguna que otra curiosa noticia. ...
Chrome nos escucha por del micrófono
La seguridad en Internet es un asunto bastante delicado que suele estar de actualidad constantemente. Es habitual que se descubran fallos de seguridad en distintos servicios como redes sociales, páginas web, aplicaciones móviles o también en naveg...
Nuestros datos adelantan nuestros actos
Cada día generamos una gran cantidad de información sobre nosotros mismos: Muchas veces somos conscientes de ello: al pagar con la tarjeta de crédito o al reservar un billete de avión, pero otras veces no nos damos cuenta de la información que e...
Twitter lanza su cliente Cassandra
Twitter lanza su cliente Cassandra a la comunidad de desarrolladores de código abierto....
JAVA fuera de los repositorios de Ubuntu
Canonical anunció que retirara todos los paquetes de Sun JDK del repositorio Canonical Partner. Esto se debe a que Oracle ha retirado la licencia de distribucion de Java para Sistemas operativos y Canonical ya no tiene permiso para distribuir estos ...
El navegador Chrome se sincronizará en la nube
Google ha anunciado planes para que el navegador de la compañía integre un sistema de sincronización en la nube para llevar nuestros marcadores y datos a cualquier sitio. Es una característica realmente útil si utilizas varios equipos y es de su...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • codigo
  • computer
  • debian
  • exploits
  • falsos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • legitimo
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • positivos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • webs
  • website
  • windows
  • xanadu
  • xfce
  • xombra