martes, 21 de febrero de 2017

La nueva pasarela de malware - Parte 1

En estos últimos días/semanas he estado viendo/leyendo nuevos métodos utilizados por el malware para infectar máquinas.

Me gustaría recopilar  estos métodos, que, por supuesto, no son todos los que sufriremos.

DATA URI

El "data URI" es un esquema definido en las normas IETF RFC 2397. Dicho esquema permite la inclusión de pequeños elementos de datos en línea para referenciar una fuente externa de datos. Suelen ser mucho más simples que otros métodos de inclusión alternativos, como MIME con "cid:" o "mid:".

De acuerdo a la denominación en el RFC, los data: URI son, de hecho, URLs.

Se tienen noticias de su uso desde el año pasado, sobre todo porque son utilizados en anuncios publicitarios de multitud de sitios web. Aunque ahora se "han empezado" a utilizar como método de infección.

La estructura data URI utilizada es:

data:[<tipo de medio>][;base64],<data>

de manera más específica:

data:[<tipo/subtipo>][;<atributos=valores>][;base64],<datos>

 
Ejemplos:
               
                ARCHIVOS HTML
       
                       <href a="data:text/html;charset=utf-8,www.google.es">
               
                       <img src="data:image/png,base64,<imagen codificada en base64>" />
       
                JAVASCRIPT
       
                           window.open('data:text/plain;Hola Mundo;-)')

                CSS
 
   ul.checklist > li.complete { margin-left: 20px, background: url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAABAAAAAQAQMAAAAlPW0iAAAABlBMVEUAAAD///+l2Z/dAAAAM0lEQVR4nGP4/5/h/1+G/58ZDrAz3D/McH8yw83NDDeNGe4Ug9C9zwz3gVLMDA/A6P9/AFGGFyjOXZtQAAAAAElFTkSuQmCC) top left no-repeat; }
 
NOTAS:
                1. - Los datos como se puede imaginar pueden ser codificados en base64.

        2.- Si el tipo de datos es obviado, por defecto se entenderá que los datos son de tipo: text/plain;charset=US-ASCII


PoC

1.- Código de nuestra página web que dejaremos en Internet


Código de la web habilitada en Internet

2.- Página web codificada en base 64 a la que re-direccionaremos la comunicación de todo aquel que accede a nuestra web.


Web que realmente se ejecutará

3.- Al ejecutar el archivo ".html" ... parece que no tenemos el efecto demo.


Ejecución del data URI
Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia

Más información:
https://www.securityartwork.es/2017/02/07/tendencias-malware-enero-2017/
https://es.wikipedia.org/wiki/Esquema_de_URI_de_datos
https://tools.ietf.org/html/rfc2397
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)