Universidad Politécnica de San Luis Potosí. González Hugo. Arania : Herramienta para colectar código malicioso.
1
Arania : Herramienta para colectar código malicioso
en ataques a servidores web.
González Hugo
[email protected]
Universidad Politécnica de San Luis Potosí
Resumen— En este documento se describe la historia y
los motivos que llevaron al desarrollo de “arania”, la
herramienta para colectar código malicioso en ataques de
inyección de código a servidores web en producción. Se
explica la importancia de dicha herramienta al ser no-
intrusiva, sus diferencias con los honeypots. Además se
describe arquitectónicamente y se explica el funcionamiento.
Finalmente se concluye con las experiencias obtenidas y con
un análisis de la información y código obtenidos a través de
arania.
Índice de Términos—Seguridad Web, Honeypots,
ataques web.
I. INTRODUCCIÓN
En la actualidad, la propagación de virus, gusanos
y ataques automáticos en Internet ha crecido
enormemente, en 2001, “Code Red” y “Nimda”
infectaron cientos de miles de equipos [1][2]
causando pérdidas por millones de dólares [3].
Luego de una relativa calma apareció “SQL
Slammer” en enero de 2003, y se esparció
rápidamente a través de Internet [4] . Por su rápido
mecanismo de escaneo, logró infectar a un 90% de
los host vulnerables en los primeros 10 minutos [4],
además la enorme cantidad de paquetes de escaneo
generados por el slammer ocasionó un ataque de
denegación de servicio a nivel global en Internet,
muchas redes en Asia, Europa y América estuvieron
fuera de servicio durante horas.[5]
Actualmente
existen
organizaciones
como
CERT[6], CAIDA[7] y el Instituto SANS [8] que se
encargan de monitorear el tráfico en Internet, y
ponen especial atención en tráfico anormal, el cual
al ser detectado es inmediatamente analizado por
expertos.
VII Jornada Nacional de Seguridad Informática ACIS 2007
Los fenómenos recientes, incluyen un nivel de
control hacia las máquinas infectadas, formando
redes de equipos latentes y disponibles para ser
usados en diferentes tipos de actividades, como la
propagación del gusano, ataques distribuidos de
denegación de servicios, escaneos de equipos
vulnerables y más. A este tipo de redes zoombie
también se les conoce como botnets. Por lo general
estas redes son controladas a través de un servidor
de irc.[9]
vez
presentando
es mayor,
Aunado a esto, el desarrollo de aplicaciones web
cada
nuevas
oportunidades y vectores de ataque para gusanos,
ataques automáticos, y porque no, también para
ataques manuales.[10] Esto generalmente se debe a
que el código de estas aplicaciones puede ser de
baja calidad [10] o a
lista de
vulnerabilidades reportadas al paso del tiempo..
la numerosa
II. TIPOS DE ATAQUES A APLICACIONES WEB
A. Inyección de SQL
Las entradas de usuario son utilizadas por los
atacantes para obtener información o privilegios no
autorizados en una base de datos. La mayoría de las
aplicaciones web actualmente hacen uso de base de
datos para almacenar su contenido. En este ataque
se pretende modificar el contenido mostrado por la
página web, o bien, conseguir información sobre
usuarios y contraseñas del sistema.
B. Inyección de código
Alguna variable o alguna condición de
la
aplicación web permite al atacante
introducir
cadenas de código a ejecutarse dentro del servidor,
por lo general estos códigos van encaminados a
descargar código malicioso en el servidor y luego
Universidad Politécnica de San Luis Potosí. González Hugo. Arania : Herramienta para colectar código malicioso.
ejecutarlo. Con este ataque se pretende modificar
contenido mostrado por la aplicación, para luego
tomar control completo sobre el sistema, instalando
una puerta trasera o un bot.
C. Inclusión de código remoto
aplicaciones web, permite que el atacante piense
que ha ganado control completo del sistema, indexa
por los 10 comandos más utilizados, los ataques
recibidos. [14]
2
Alguna variable o alguna condición de
la
aplicación web permite al atacante que se ejecute
código que está almacenado en otro lugar, por lo
general se dá en
instrucciones “include” no
verificadas. Al igual que en la inyección de código,
se pretende tomar control del servidor, instalando
una puerta trasera o un bot.
D. Scripting de sitio cruzado (XSS)
información
Esta técnica sirve para utilizar el servidor web
como vía para realizar ataques a usuarios del sitio,
robando
o
redirigiéndoles a otras páginas. Lo que se realiza es
incluir código en el sitio, que luego es ejecutado por
el navegador web del visitante.
sesiones,
sobre
En este documento nos enfocaremos a
la
inyección de código y a la inclusión de código
remoto.
III. TRABAJO RELACIONADO
tipos
diferentes
limitada de
A. Honeypot
Un honeypot es un recurso informático, real o
ficticio, que su valor reside en el uso malicioso o no
autorizado[12]. Existen
de
honeypots, entre ellos están los de baja interacción
que solo emulan servicios, permitiendo recolectar
una cantidad
información, estos
honeypots son los mas sencillos de implementar.
Ejemplos de ellos on honeyd, nepenthes y
kfsensors. También existen honeypots de alta
interacción, que no son recursos emulados, sino
reales, son sistemas operativos preparados para ser
atacados y comprometidos, de los cuales se puede
obtener mucha mas información a través de análisis
forense, generalmente son configurados en una
honeynet, que permite controlar mucho mejor el
incidente y facilita el análisis de información [13].
B. php honeypot
Honeypot de baja
interacción que emula
VII Jornada Nacional de Seguridad Informática ACIS 2007
C. google hack honeypot (ghh)
los
por
atacantes
Este proyecto surge como reacción al uso de
buscar
google
vulnerabilidades en aplicaciones web. El ghh utiliza
la teoría de honeypots para dar mayor seguridad a
tus aplicaciones web, detectando ataques y
ofreciendo recursos simulados que son indexados
por google. [15]
para
IV. SERVIDOR DEL ITSLP
A. Antecedentes
El Instituto Tecnológico de San Luis Potosí
(ITSLP), tiene su sitio web[16] sobre un Manejador
de contenido (CMS por sus siglas en Inglés)
llamado Mambo [17] desde hace más de 2 años.
Este manejador de contenido está escrito en PHP y
utiliza MySQL como gestor de almacenamiento, se
ha vuelto muy popular recientemente y existen
cerca de 95,900 instalaciones indexadas por google
al 22 de Marzo de 2007.
A
finales del 2005, se
reportaron varias
vulnerabilidades relacionadas con Mambo,
las
cuales permitían ataques de tipo inclusión de código
remoto. Los anuncios en formato original se
muestran a continuación:
El 17 de noviembre de 2005
- Mambo "mosConfig_absolute_path" Remote
File Inclusion Vulnerability
http://www.frsirt.com/english/advisories/2005/2473
- Mambo "mosConfig_absolute_path" Remote
Command Execution Exploit
Advisory ID : FrSIRT/ADV-2005-2473
Rated as : High Risk
http://www.frsirt.com/exploits/20051122.mambo45
2_xpl.php.php
Universidad Politécnica de San Luis Potosí. González Hugo. Arania : Herramienta para colectar código malicioso.
3
webhosting y a 2 universidades.
Con estos avisos, se aplicó el parche de seguridad
al servidor, pero se comenzó a detectar múltiples
intentos de aprovechar esta vulnerabilidad. Y más
adelante se reportaron otras tantas vulnerabilidades
del mismo estilo sobre el CMS, de las cuales
también se siguen recibiendo ataques.
B. Datos recolectados
Existen diversos códigos que circulan por la red,
la más utilizada en los ataques al servidor web del
ITSLP fue un archivo llamado tool.gif, que en
realidad es código php, html y javascript para
realizar un defacement, o cambio de página
principal, descargar y ejecutar archivos.
hospedadas
Se identificaron 42 nombres de herramientas
diferentes,
sitios. La
proliferación de sitios se debe principalmente que
cuando identifican un archivo de este tipo es
cancelado o borrado. La mayoría de los sitios son de
alojamiento gratuito.
220
en
Otros códigos modificaban directamente la página
principal. Hubo diferentes implementaciones, pero
las funciones eran las mismas.
Durante los 3 meses de más intensa actividad en
que se monitoreo el servidor a través de los
registros, de destacan el total de intentos de
explotación 43656. En total se registraron 973
direcciones ip donde se generaron ataques. Las 5
direcciones con más de 500 ataques son :
Tabla 1 Lista de direcciones con más de 500 ataques
595
631
682
723
748
761
816
837
2032
212.29.217.4
213.193.212.208
81.169.182.111
81.169.134.50
212.87.13.140
218.208.21.7
66.240.226.25
81.208.30.102
193.255.143.5
Las direcciones pertenecen a servicios de
VII Jornada Nacional de Seguridad Informática ACIS 2007
V. ARANIA
A. Justificación
Luego de estar monitoreando el servidor, se
intentaron descargar el código malicioso que se
pretendía incluir, y el código del perlbot. Realizar
esta tarea de forma manual fue ardua y no siempre
se conseguía obtener la información, ya que algunos
códigos
Comentarios de: Arania: Herramienta para colectar código malicioso en ataques a servidores web (0)
No hay comentarios