La nueva pasarela de malware - Última parte

Y por último en este desfile, aunque no son las únicas tendencias, comentar que la idea es utilizar algún servicio público en Internet a través del cual se pueda solicitar una web, es decir, que pueda funcionar como proxy-web. El ejemplo: el traductor de Google, el cual permite traducir páginas web en su totalidad, mientras que la ejecutan.

Además, en este caso, las comunicaciones generadas van cifradas, lo que dificulta el uso de IPS/IDS o cualquier otro elemento de seguridad a nivel de red que se utilice. Además, el cifrado dificulta cualquier tipo de análisis por parte de un analista.

Más información:

https://www.securityartwork.es/2017/02/28/volvamos-al-collins/

PoC

Imaginad que se "contrata" un dominio y espacio para el mismo en Internet, en donde se dejará el "regalo" malicioso, o mejor, se accede de "aquella manera" al siguiente recurso, dejando en el mismo, "el regalo"

http://science.sciencemag.org/content/355/6330/1112

Tras lo cual se monta una campaña ... en este caso supondremos que hemos recibido por ejemplo, un ".html" con el siguiente contenido:

Contenido del archivo ".html" que se recibe.

Cuando se ejecuta dicho código obtenemos.

Resultado final de la ejecución de la página ".html" ejecutada

Del tráfico "snifado", se comprueba las comunicaciones realizadas directamente al sitio:

science.sciencemag.org

Del tráfico "snifado", se comprueba las comunicaciones realizadas directamente al sitio:

translate.google.com

La comunicación va cifrada.

Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.

La nueva pasarela de malware - Parte 4

Continuando con el desfile se presentan los archivos ...

ARCHIVOS .SVG

Los archivos ".svg" (Scalable Vector Graphics o Gráficos Vectoriales Redimensionables) son archivos que contienen un código XML para expresar un gráfico vectorial.

El problema radica en que estos archivos son capaces de contener código javascript, por lo que son archivos susceptibles de utilizarse para hacer el mal.

Toda ejecución, en principio, tendrá lugar dentro de la Sandbox del navegador, por lo que no "deberían" escapar de este, pero nunca se sabe.

PoC

Para probar lo anteriormente comentado, se crea el archivo: PoC-SVG.svg, con el código:

Contenido del archivo: PoC-SVG.svg

NOTA: En las pruebas que se han realizado ha sido fundamental no quitar la siguiente cadena: "xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink". Sin ella, el archivo ".svg" no es comprensible y por lo tanto, no obtendríamos los efectos deseados.

Tras el consiguiente doble click, se abre el Internet Explorer obtenido los siguientes resultados:

Gráfico SVG presentado y solicitud para permitir la ejecución del código javascript

Presentación de la orden: alert('Hola Mundo! :}'

Redirección de la web de San Google.

Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.

Más información:

http://unaaldia.hispasec.com/2017/02/creias-que-las-imagenes-eran.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+hispasec%2FzCAd+%28%40unaaldia%29

https://es.wikipedia.org/wiki/Scalable_Vector_Graphics

https://www.w3.org/TR/SVG11/intro.html

La nueva pasarela de malware - Parte 3

Continuando con el desfile se presentan los archivos ...

HTA (HTML Application)

Es un programa cuyo código fuente es código HTML, HTML dinámico y/o uno o más lenguajes scripts soportado por el explorador Internet Explorer (VBScript o JavaScript). El código HTML es usado para el interface , mientras que el lenguaje script es usado para la lógica del programa.

Su extensión es: ".hta".

Código de un programa HTA.

Estos archivos con extensión .HTA, se ejecutan sin las restricciones del modelo de seguridad del navegador, es decir, se ejecutan como una aplicación "totalmente confiable".

El motor de los archivos HTA es: mshta.exe, que es dependiente de Internet Explorer, por lo que si no se tiene instalado el Internet Explorer, los archivos HTA no se ejecutarán.

Desde la versión de Internet Explorer 5 hasta la 11 los archivos HTA son soportados, aunque también hay que decir, que las versiones 10 y 11 los soportan pero con menos funciones activas.

Ejecución del programa: PoC-HTA.hta

Ejecución del archivo: PoC-HTA.hta, a través de: mshta.exe

Navegador Internet Explorer ejecutado tras el lanzamiento de la aplicación: PoC-HTA.hta

Un el uso de dicha técnica para el despliegue de *ware lo encontramos en una nueva variante de ransomware llamada: Spora, que se ha descubierto en Enero de este año y que aunque sólo afectaba a usuarios de habla rusa, personalmente, ya lo he empezado a ver por nuestros lares.

Código HTA del ransomware Spora.

Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.

Más información:

https://en.wikipedia.org/wiki/HTML_Application#Security_considerations

https://www.vmray.com/blog/spora-ransomware-dropper-hta-infect-system/