Código legítimo en webs y falsos positivos


Un exploit pack o también conocido como exploit kit es un software desarrollado con fines maléficos. Se compone de una serie de exploits conocidos para diferentes aplicaciones o también zero days, si contiene de estos últimos, el exploit kit estará muy bien cotizado en el mercado underground. Su objetivo es infectar a víctimas para que estas pasen a formar parte de botnets u otros fines fraudulentos. Existe una gran demanda en el mercado underground, no hacen falta muchos conocimientos para ponerlo en marcha, similar a instalar un wordpress, y se administra vía web.





Ejemplo de un panel de exploit kit mostrando estadísticas de infección por navegador
1

Pero únicamente con comprar un exploit kit en el mercado negro, e instalarlo no será suficiente, una de las claves será conseguir tráfico hacia él, bien con técnicas black hat SEO, o directamente inyectando iframes y scripts en webs legítimas que han sido comprometidas y apuntando hacia el exploit kit, formando así lo que se conoce como drive-by downloads, posteriormente las posibilidades de que un sitio legítimo sea penalizado por los sistemas de monitorización de malware en navegadores, seran muy altas. Pero ¿a qué viene todo esto?

Una de las características que más se observa en el código html de estas páginas infectadas es la inyección de etiquetas iframe o script después de la del cierre del html.

2

El estándar para el elemento script dice:

"The SCRIPT element places a script within a document. This element may appear any number of times in the HEAD or BODY of an HTML document."

El hecho de encontrarse un elemento script o iframe después de la etiqueta de cierre del html hará saltar todas las sospechas, y muchos de los motores de análisis de URLs ponderarán de manera muy alta esta situación, llegando incluso a dar falsos positivos en páginas legítimas. Se ha comprobado que algunos sitios mantienen esta mala práctica bien a través de ellos mismos o por desconocimiento mediante widgets de terceros.

Evitad en lo posible situaciones como esas en vuestros sitios web si no quereis llevaros una desagradable sorpresa.

Fuente:
Por Emilio Casbas
http://blog.s21sec.com/



Otras noticias de interés:

Son realmente útiles los mensajes de aviso?
Muy recientemente Paul Thurrott, responsable de los portales WinSupersite.com y WindowsITPro.com, dedicados a la revisión de productos Microsoft Windows y a proporcionar información a la comunidad de usuarios profesionales de soluciones Windows ...
Captura pantallas (ScreenShot) de tu IE.
Webshot es una herramienta para Windows que nos permitirán realizar capturas de pantallas y miniaturas de páginas webs simples hasta de sitios web enteros. ...
Actualización para Google Chrome resuelve dos vulnerabilidades
A pesar de que no ha pasado mucho tiempo desde la última actualización (poco más de dos semanas), Google ha tenido que publicar una nueva versión de Chrome para solucionar dos vulnerabilidades catalogadas como críticas....
Vulnerabilidad Overflow en mIRC
El exploit contiene un comando DCC que puede ser enviado a cualquier persona o canal. La explotación permite la ejecución arbitraria de código en el sistema del usuario comprometido....
Comprometido sistema primario de servidores FTP para el proyecto de software GNU
El *CERT/UNAM-CERT*, a través de sus equipos de respuesta a incidentes de *Seguridad en Cómputo*, han emitido éste boletín en el cual se informa de que se ha recibido un reporte alertando que el sistema primario de servidores FTP para el proyecto...
Se detecta el primer virus parlante
Se ha detectado el primer virus que es capaz de hablar al usuario de Windows infectado. Utilizando una de las características incrustadas en el sistema de Microsoft, el virus bautizado como Amus, es capaz de hablar al usuario haciendo uso de los a...
Parche de Microsoft para ADODB.Stream
Las buenas noticias son que Microsoft ha liberado un parche fuera del ciclo de actualizaciones habituales, para contrarrestar las vulnerabilidades recientemente explotadas por el código conocido como Download.Ject, Scob, Toofer, etc....
Google: Nuevas políticas de uso
A partir del 1 de marzo Google implementará sus nuevas políticas de uso y de privacidad. Reuniendo 60 políticas de privacidad en 1 solo documento....
Suricata, Detector de Intrusos de tu Red Wifi
Suricata es un detector de intrusos y prevención desarrollado por la Open Information Security Foundationo. El motor es de subprocesos múltiples y tiene soporte nativo de IPv6. Es capaz de cargar las normas vigentes y las firmas de Snort y soporta ...
Google+ su primer fallo de seguridad
Google prepara el arreglo de un bug en su red social relacionado con la función de volver a compartir, que permite hacer públicos todos los mensajes aunque su autor no quiera. Google ya está trabajando en una solución para un agujero de privacida...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • codigo
  • computer
  • debian
  • exploits
  • falsos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • legitimo
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • positivos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • webs
  • website
  • windows
  • xanadu
  • xfce
  • xombra