Arania: Herramienta para
colectar código malicioso en
ataques a servidores web.
Conferencista:
Hugo González
[email protected]
Agenda
• Antecedentes
• Tipos de ataques
• Trabajo relacionado
• Experiencia de trabajo
• Arania
• Resultados
• Conclusiones
• Trabajo a futuro
2
Antecedentes
• La aparición de virus, gusanos, troyanos y malware
en general ha ido aumentando en los últimos años
en Internet.
• Code Red, Nimda (2001)
• SQL Slammer (2003)
• Otros
• Es importante conocer al enemigo para poder
luchar contra él.
3
Tipos de ataques
• Inyección de SQL
• Inyección de código
• XSS
• Inclusión de código remoto
4
3. Trabajo relacionado
• Honeypots
• PhpHoneypot
• Google hack honeypot
5
Experiencias de trabajo
• A finales del 2005, se reportaron varias
vulnerabilidades relacionadas con Mambo, las
cuales permitían ataques de tipo inclusión de
código remoto. Los anuncios en formato original se
muestran a continuación:
- Mambo "mosConfig_absolute_path" Remote File Inclusion Vulnerability
• El 17 de noviembre de 2005
•
• http://www.frsirt.com/english/advisories/2005/2473
• - Mambo "mosConfig_absolute_path" Remote Command Execution
Exploit Advisory ID : FrSIRT/ADV-2005-2473Rated as : High Risk
• http://www.frsirt.com/exploits/20051122.mambo45
6
• Se identificaron 42 nombres de herramientas
diferentes, hospedadas en 220 sitios. La
proliferación de sitios se debe principalmente que
cuando identifican un archivo de este tipo es
cancelado o borrado. La mayoría de los sitios son
de alojamiento gratuito.
• Se identificaron durante los 3 meses de mayor
actividad: 43656 intentos de explotación sobre un
solo servidor. 973 ips únicas.
7
Direcciones con mayor cantidad de
ataques
212.29.217.4
213.193.212.208
81.169.182.111
81.169.134.50
212.87.13.140
218.208.21.7
66.240.226.25
81.208.30.102
193.255.143.5
595
631
682
723
748
761
816
837
2032
8
Arania ( Motivación )
• Luego de estar monitoreando el servidor, se
intentaron descargar el código malicioso. Realizar
esta tarea de forma manual fue ardua y no siempre
se conseguía obtener la información, ya que
algunos códigos ya habian sido eliminados. Y
aunque las herramientas usadas que se obtuvieron
tenían los mismo nombres, el código algunas veces
variaba.
• Además de que algunas veces existia el “second
include”
9
Arania ( Diseño )
• El diseño de arania es simple y concreto, se
cumplen varios objetivos:
– Monitorea de forma automáticas/manual los registros
del servidor web.
– Es un modelo no-intrusivo, no afecta el funcionamiento
del servidor web.
– Obtiene el código malicioso que se trato de incluir.
– Lo almacena marcándolo de acuerdo a su contenido.
– Mantiene un registro detallado.
– Se incorpora el “second include”, para descargar
códigos incluidos en el primer ataque.
10
11
Arania ( Descargas )
12
Discusión
• Este código desarrollado en perl es muy similar,
incluye funciones para conectarse a un servidor
IRC, y esperar las ordenes del administrador de
ese canal. Las ordenes que puede ejecutar son
funciones dentro del programa, y están el escaneo
de puertos, ataque de denegación de servicio
“tcpflood” que es una inundación de peticiones,
otra función es obtener la versión del bot, y tiene
una función para buscar servidores mambo
vulnerables y atacarlos, de echo esta es el
mecanismo principal de dispersión.
13
Clasificación
• Shells php
– c99shell
– r57shell
• Deface tools
– Revengans
• Pruebas
– Morpheus Fucking Scanner
14
15
16
17
Conclusiones
• El problema de la inseguridad informática crece
cada día, y los esfuerzos por mantenerse a salvo
exígen cada vez más de las aplicaciones y del
administrador de las mismas, es importante
mantener contacto con anuncios para poder
preparar nuestros sistemas y evitar ser víctimas de
estos atacantes.
• Las herramientas nos simplifican la vida
18
Conclusiones (II)
• Los usos que se dan a los equipos comprometidos
por lo general generan ganancias económicas a los
atacantes.
– Desde spam
– Phishing scam
– Control completa de la maquina.
• Un caso de un equipo comprometido, fue usado
para generar spam relacionado con phishing scam.
19
Trabajo Futuro
• Se esta trabajando sobre una herramienta que
permita clasificar automáticamente el malcode
recolectado.
• “Crisopa” es el nombre y será liberada proximante.
• Analiza el código recolectado por “arania”, obtiene
el nombre de las funciones y las relaciona con los
otros códigos ...
20
Agradecimientos
• UPSLP
• ITSLP
• Honeynet Project
• ACIS
21
Comentarios de: Arania: Herramienta para colectar código malicioso en ataques a servidores web (0)
No hay comentarios