Ataque masivo a miles de sitios webs

Masterlau · 21-02-2008, 11:24

Se ha encontrado gran cantidad de sitios conocidos y confiables (incluso mucho de ellos educativos, gubernamentales y de la lista Fortune 500) que apuntan a scripts hosteados en sitios chinos y que permiten la descarga de archivos ejecutables dañinos.

En este momento, se registran alrededor de 120.000 sitios afectados, de los cuales un porcentaje importante son sitios en español:

Aparentemente, a través de un ataque de SQL Injection, decenas de miles de sitios que utilizan Microsoft SQL Server han sido modificados agregando enlaces a sitios dañinos en sus tablas de la base de datos.

A través de estas modificaciones se ha logrado que cada vez que se ingresa al sitio atacado, se carga en el navegador del usuario un Javascript que invoca a otros scripts que explotan diversas vulnerabiliades en el sistema operativo, navegador y aplicaciones del usuario:

Vulnerabilidad MDAC (Microsoft Data Access Components), ya corregida por Microsoft en abril de 2006 con la actualización MS06-014.
Vulnerabilidad en Yahoo! Messenger ya corregida.
Una vulnerabilidad en Real Player solucionada en octubre de 2007 y otra vulnerabilidad en RealPlayer reportada este 3 de enero y aún no corregida. Si Ud. dispone de Real Player instalado, extreme la precauciones.

A modo de ejemplo analicemos un caso de un conocido (y muy visitado) sitio de musica latinoamericano que se ha visto afectado. Al momento de escribir el presente, este sitio ya ha solucionado y solventado el ataque.

Al ingresar al sitio lo único que se notará es una carga “más lenta” del mismo. Esto sucede debido a que múltiples sitios y archivos están siendo invocados y descargados en este momento de otros servidores. En el sitio puede verse lo siguiente:

Al descargar el código fuente pueden verse los enlaces al script dañino en el sitio uc8010[dot]com (o ucmal[dot]com en otros casos) y ejecutando el archivo Javascript 0.js múltiples veces. Si Ud. es administrador de red le recomendamos bloquear estos sitios de inmediato.

Esto es debido a que la inyección SQL ha impactado en diversas tablas y esto permite la modificación masiva de las cabeceras del archivo HTML involucrado. Los dominios mencionados han sido registrados el 28 de diciembre pasado y evidentemente el único fin ha sido el de crear este ataque masivo.

A continuación, si el usuario dispone de algunas de las vulnerabilidades mencionadas, y no cuenta con una protección antivirus adecuada, se procederá a ejecutar 4 scripts ofuscados que descargan al menos 3 archivos ejecutables dañinos. Estos archivos ejecutables son detectados por la Heurística Avanzada de ESET NOD32.

Parte del código fuente del archivo 0.js es el siguiente, donde se invoca a un nuevo script llamado w.js:

Este script a su vez invoca a nuevos scripts y también ya puede verse el primer código ofuscado que comienza a realizar pruebas de vulnerabilidades en el sistema del usuario:

Este proceso de descarga de archivos Javascripts ofuscados (e incluso un Vbscript) continúa y luego de seguir todo el proceso completo se contará con los siguientes archivos descargados:

Como puede intuirse con los nombres de los mismos, cada uno de ellos explota una de las vulnerabilidades ya mencionadas. Si estos exploits tienen éxito, el sistema resultará infectado con algún tipo de malware. Los 3 archivos ejecutables que pueden verse en la imagen son troyanos ladrones de contraseñas de juegos en línea. Estos archivos ejecutables son detectados por la Heurística Avanzada de ESET NOD32 cuando intentan ser descargados:

Si Ud. es administrador de un sitio web recomendamos:

Ser muy cuidadosos cuando suceden este tipo de ataques
Verificar el código fuente de sus aplicaciones para evitar ataques de SQL Injection (hardening de aplicaciones)
Verificar su sitio continuamente para detectar posibles vectores de ataques
Bloquear los sitios mencionados en el presente
Si Ud. es una de las víctimas, informar a sus clientes y visitantes, bajar el sitio si es necesario y solucionar el inconveniente (recuperar la base de datos, sanitizar el código fuente, etc.)

Si Ud. es usuario recomendamos:

Aplicar las actualizaciones del sistema operativo y las aplicaciones que utiliza
Bloquear los sitios mencionados en el presente
Instalar un antivirus con capacidades de detección heurística que evite la descarga de archivos dañinos

Fuente

************************************************** **

Es de enero de este año, pero aun asi creo que es util para concientizar a la gente a la hora de navegar por algunos sitios webs.

saludos!

Stifen · 21-02-2008, 14:13

Nice info.

KTHXB

Epidemor · 21-02-2008, 14:57

Buena información. habrá que ir de cuiadadosos y creo que a mi ya me había afectado, pero tras el análisis de varios programas diferentes mi PC anda bien de nuevo.

Hay que tener mucho cuidado hasta al abrir cosas del google, el Internet es´ta cada vez más insoportable u_u

21-02-2008, 11:24	#1 (permalink)
Masterlau Sh1n0cks Join Date: Feb 2005 Posts: 4,181	Ataque masivo a miles de sitios webs Se ha encontrado gran cantidad de sitios conocidos y confiables (incluso mucho de ellos educativos, gubernamentales y de la lista Fortune 500) que apuntan a scripts hosteados en sitios chinos y que permiten la descarga de archivos ejecutables dañinos. En este momento, se registran alrededor de 120.000 sitios afectados, de los cuales un porcentaje importante son sitios en español: Aparentemente, a través de un ataque de SQL Injection, decenas de miles de sitios que utilizan Microsoft SQL Server han sido modificados agregando enlaces a sitios dañinos en sus tablas de la base de datos. A través de estas modificaciones se ha logrado que cada vez que se ingresa al sitio atacado, se carga en el navegador del usuario un Javascript que invoca a otros scripts que explotan diversas vulnerabiliades en el sistema operativo, navegador y aplicaciones del usuario: Vulnerabilidad MDAC (Microsoft Data Access Components), ya corregida por Microsoft en abril de 2006 con la actualización MS06-014. Vulnerabilidad en Yahoo! Messenger ya corregida. Una vulnerabilidad en Real Player solucionada en octubre de 2007 y otra vulnerabilidad en RealPlayer reportada este 3 de enero y aún no corregida. Si Ud. dispone de Real Player instalado, extreme la precauciones. A modo de ejemplo analicemos un caso de un conocido (y muy visitado) sitio de musica latinoamericano que se ha visto afectado. Al momento de escribir el presente, este sitio ya ha solucionado y solventado el ataque. Al ingresar al sitio lo único que se notará es una carga “más lenta” del mismo. Esto sucede debido a que múltiples sitios y archivos están siendo invocados y descargados en este momento de otros servidores. En el sitio puede verse lo siguiente: Al descargar el código fuente pueden verse los enlaces al script dañino en el sitio uc8010[dot]com (o ucmal[dot]com en otros casos) y ejecutando el archivo Javascript 0.js múltiples veces. Si Ud. es administrador de red le recomendamos bloquear estos sitios de inmediato. Esto es debido a que la inyección SQL ha impactado en diversas tablas y esto permite la modificación masiva de las cabeceras del archivo HTML involucrado. Los dominios mencionados han sido registrados el 28 de diciembre pasado y evidentemente el único fin ha sido el de crear este ataque masivo. A continuación, si el usuario dispone de algunas de las vulnerabilidades mencionadas, y no cuenta con una protección antivirus adecuada, se procederá a ejecutar 4 scripts ofuscados que descargan al menos 3 archivos ejecutables dañinos. Estos archivos ejecutables son detectados por la Heurística Avanzada de ESET NOD32. Parte del código fuente del archivo 0.js es el siguiente, donde se invoca a un nuevo script llamado w.js: Este script a su vez invoca a nuevos scripts y también ya puede verse el primer código ofuscado que comienza a realizar pruebas de vulnerabilidades en el sistema del usuario: Este proceso de descarga de archivos Javascripts ofuscados (e incluso un Vbscript) continúa y luego de seguir todo el proceso completo se contará con los siguientes archivos descargados: Como puede intuirse con los nombres de los mismos, cada uno de ellos explota una de las vulnerabilidades ya mencionadas. Si estos exploits tienen éxito, el sistema resultará infectado con algún tipo de malware. Los 3 archivos ejecutables que pueden verse en la imagen son troyanos ladrones de contraseñas de juegos en línea. Estos archivos ejecutables son detectados por la Heurística Avanzada de ESET NOD32 cuando intentan ser descargados: Si Ud. es administrador de un sitio web recomendamos: Ser muy cuidadosos cuando suceden este tipo de ataques Verificar el código fuente de sus aplicaciones para evitar ataques de SQL Injection (hardening de aplicaciones) Verificar su sitio continuamente para detectar posibles vectores de ataques Bloquear los sitios mencionados en el presente Si Ud. es una de las víctimas, informar a sus clientes y visitantes, bajar el sitio si es necesario y solucionar el inconveniente (recuperar la base de datos, sanitizar el código fuente, etc.) Si Ud. es usuario recomendamos: Aplicar las actualizaciones del sistema operativo y las aplicaciones que utiliza Bloquear los sitios mencionados en el presente Instalar un antivirus con capacidades de detección heurística que evite la descarga de archivos dañinos Fuente ************************************************ Es de enero de este año, pero aun asi creo que es util para concientizar a la gente a la hora de navegar por algunos sitios webs. saludos! __________________

21-02-2008, 14:13	#2 (permalink)
Stifen Kriogenic Join Date: Jan 2008 Location: Mar del Plata Posts: 845	Re: Ataque masivo a miles de sitios webs Nice info. KTHXB __________________ Venta de Gamecube con 2 controles, 3 juegos y memory card. Magical Kicks Robbie Baggio Juegos Online de Rugby Juegos con HighScore

21-02-2008, 14:57	#3 (permalink)
Epidemor Hijo de Odín Join Date: Aug 2007 Location: La Horrible. Posts: 70	Re: Ataque masivo a miles de sitios webs Buena información. habrá que ir de cuiadadosos y creo que a mi ya me había afectado, pero tras el análisis de varios programas diferentes mi PC anda bien de nuevo. Hay que tener mucho cuidado hasta al abrir cosas del google, el Internet es´ta cada vez más insoportable u_u __________________ Crédito de la imagen del Avatar: Grave Digger - Rheingold Sangre y Ceniza, un aficionado a las letras Pastafarismo, sé un pirata más, súbete al barco y salva al mundo. RAmén

Thread Tools
Show Printable Version Email this Page
Display Modes
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode

Copyright ©2008 Gxzone Argentina Powered by SKServers.net Powered by vBulletin® Version 3.7.0 Copyright ©2000 - 2008, Jelsoft Enterprises Ltd. SEO by vBSEO 3.1.0