PDF de programación - Arania: Herramienta para colectar código malicioso en ataques a servidores web

Arania: Herramienta para
colectar código malicioso en
ataques a servidores web.

Conferencista:

Hugo González

[email protected]

Agenda

• Antecedentes
• Tipos de ataques
• Trabajo relacionado
• Experiencia de trabajo
• Arania
• Resultados
• Conclusiones
• Trabajo a futuro

2

Antecedentes

• La aparición de virus, gusanos, troyanos y malware

en general ha ido aumentando en los últimos años
en Internet.

• Code Red, Nimda (2001)
• SQL Slammer (2003)
• Otros
• Es importante conocer al enemigo para poder

luchar contra él.

3

Tipos de ataques

• Inyección de SQL

• Inyección de código

• XSS

• Inclusión de código remoto

4

3. Trabajo relacionado

• Honeypots

• PhpHoneypot

• Google hack honeypot

5

Experiencias de trabajo

• A finales del 2005, se reportaron varias

vulnerabilidades relacionadas con Mambo, las
cuales permitían ataques de tipo inclusión de
código remoto. Los anuncios en formato original se
muestran a continuación:

- Mambo "mosConfig_absolute_path" Remote File Inclusion Vulnerability

• El 17 de noviembre de 2005
•
• http://www.frsirt.com/english/advisories/2005/2473
• - Mambo "mosConfig_absolute_path" Remote Command Execution
Exploit Advisory ID : FrSIRT/ADV-2005-2473Rated as : High Risk

• http://www.frsirt.com/exploits/20051122.mambo45

6

• Se identificaron 42 nombres de herramientas

diferentes, hospedadas en 220 sitios. La
proliferación de sitios se debe principalmente que
cuando identifican un archivo de este tipo es
cancelado o borrado. La mayoría de los sitios son
de alojamiento gratuito.

• Se identificaron durante los 3 meses de mayor

actividad: 43656 intentos de explotación sobre un
solo servidor. 973 ips únicas.

7

Direcciones con mayor cantidad de

ataques

212.29.217.4
213.193.212.208
81.169.182.111
81.169.134.50
212.87.13.140
218.208.21.7
66.240.226.25
81.208.30.102
193.255.143.5

595
631
682
723
748
761
816
837
2032

8

Arania ( Motivación )

• Luego de estar monitoreando el servidor, se

intentaron descargar el código malicioso. Realizar
esta tarea de forma manual fue ardua y no siempre
se conseguía obtener la información, ya que
algunos códigos ya habian sido eliminados. Y
aunque las herramientas usadas que se obtuvieron
tenían los mismo nombres, el código algunas veces
variaba.

• Además de que algunas veces existia el “second

include”

9

Arania ( Diseño )

• El diseño de arania es simple y concreto, se

cumplen varios objetivos:
– Monitorea de forma automáticas/manual los registros

del servidor web.

– Es un modelo no-intrusivo, no afecta el funcionamiento

del servidor web.

– Obtiene el código malicioso que se trato de incluir.

– Lo almacena marcándolo de acuerdo a su contenido.

– Mantiene un registro detallado.

– Se incorpora el “second include”, para descargar

códigos incluidos en el primer ataque.

10

11

Arania ( Descargas )

12

Discusión

• Este código desarrollado en perl es muy similar,
incluye funciones para conectarse a un servidor
IRC, y esperar las ordenes del administrador de
ese canal. Las ordenes que puede ejecutar son
funciones dentro del programa, y están el escaneo
de puertos, ataque de denegación de servicio
“tcpflood” que es una inundación de peticiones,
otra función es obtener la versión del bot, y tiene
una función para buscar servidores mambo
vulnerables y atacarlos, de echo esta es el
mecanismo principal de dispersión.

13

Clasificación

• Shells php
– c99shell

– r57shell

• Deface tools
– Revengans

• Pruebas

– Morpheus Fucking Scanner

14

15

16

17

Conclusiones

• El problema de la inseguridad informática crece
cada día, y los esfuerzos por mantenerse a salvo
exígen cada vez más de las aplicaciones y del
administrador de las mismas, es importante
mantener contacto con anuncios para poder
preparar nuestros sistemas y evitar ser víctimas de
estos atacantes.

• Las herramientas nos simplifican la vida

18

Conclusiones (II)

• Los usos que se dan a los equipos comprometidos
por lo general generan ganancias económicas a los
atacantes.
– Desde spam

– Phishing scam

– Control completa de la maquina.

• Un caso de un equipo comprometido, fue usado

para generar spam relacionado con phishing scam.

19

Trabajo Futuro

• Se esta trabajando sobre una herramienta que

permita clasificar automáticamente el malcode
recolectado.

• “Crisopa” es el nombre y será liberada proximante.

• Analiza el código recolectado por “arania”, obtiene

el nombre de las funciones y las relaciona con los
otros códigos ...

20

Agradecimientos

• UPSLP

• ITSLP

• Honeynet Project

• ACIS

21