PDF de programación - Arania: Herramienta para colectar código malicioso en ataques a servidores web

Universidad Politécnica de San Luis Potosí. González Hugo. Arania : Herramienta para colectar código malicioso.



1

Arania : Herramienta para colectar código malicioso

en ataques a servidores web.



González Hugo

[email protected]

Universidad Politécnica de San Luis Potosí



Resumen— En este documento se describe la historia y
los motivos que llevaron al desarrollo de “arania”, la
herramienta para colectar código malicioso en ataques de
inyección de código a servidores web en producción. Se
explica la importancia de dicha herramienta al ser no-
intrusiva, sus diferencias con los honeypots. Además se
describe arquitectónicamente y se explica el funcionamiento.
Finalmente se concluye con las experiencias obtenidas y con
un análisis de la información y código obtenidos a través de
arania.


Índice de Términos—Seguridad Web, Honeypots,

ataques web.



I. INTRODUCCIÓN

En la actualidad, la propagación de virus, gusanos
y ataques automáticos en Internet ha crecido
enormemente, en 2001, “Code Red” y “Nimda”
infectaron cientos de miles de equipos [1][2]
causando pérdidas por millones de dólares [3].
Luego de una relativa calma apareció “SQL
Slammer” en enero de 2003, y se esparció
rápidamente a través de Internet [4] . Por su rápido
mecanismo de escaneo, logró infectar a un 90% de
los host vulnerables en los primeros 10 minutos [4],
además la enorme cantidad de paquetes de escaneo
generados por el slammer ocasionó un ataque de
denegación de servicio a nivel global en Internet,
muchas redes en Asia, Europa y América estuvieron
fuera de servicio durante horas.[5]


Actualmente

existen

organizaciones

como
CERT[6], CAIDA[7] y el Instituto SANS [8] que se
encargan de monitorear el tráfico en Internet, y
ponen especial atención en tráfico anormal, el cual
al ser detectado es inmediatamente analizado por
expertos.



VII Jornada Nacional de Seguridad Informática ACIS 2007


Los fenómenos recientes, incluyen un nivel de
control hacia las máquinas infectadas, formando
redes de equipos latentes y disponibles para ser
usados en diferentes tipos de actividades, como la
propagación del gusano, ataques distribuidos de
denegación de servicios, escaneos de equipos
vulnerables y más. A este tipo de redes zoombie
también se les conoce como botnets. Por lo general
estas redes son controladas a través de un servidor
de irc.[9]

vez

presentando

es mayor,


Aunado a esto, el desarrollo de aplicaciones web
cada
nuevas
oportunidades y vectores de ataque para gusanos,
ataques automáticos, y porque no, también para
ataques manuales.[10] Esto generalmente se debe a
que el código de estas aplicaciones puede ser de
baja calidad [10] o a
lista de
vulnerabilidades reportadas al paso del tiempo..

la numerosa



II. TIPOS DE ATAQUES A APLICACIONES WEB

A. Inyección de SQL

Las entradas de usuario son utilizadas por los
atacantes para obtener información o privilegios no
autorizados en una base de datos. La mayoría de las
aplicaciones web actualmente hacen uso de base de
datos para almacenar su contenido. En este ataque
se pretende modificar el contenido mostrado por la
página web, o bien, conseguir información sobre
usuarios y contraseñas del sistema.
B. Inyección de código

Alguna variable o alguna condición de

la
aplicación web permite al atacante
introducir
cadenas de código a ejecutarse dentro del servidor,
por lo general estos códigos van encaminados a
descargar código malicioso en el servidor y luego

Universidad Politécnica de San Luis Potosí. González Hugo. Arania : Herramienta para colectar código malicioso.


ejecutarlo. Con este ataque se pretende modificar
contenido mostrado por la aplicación, para luego
tomar control completo sobre el sistema, instalando
una puerta trasera o un bot.
C. Inclusión de código remoto

aplicaciones web, permite que el atacante piense
que ha ganado control completo del sistema, indexa
por los 10 comandos más utilizados, los ataques
recibidos. [14]

2



Alguna variable o alguna condición de

la
aplicación web permite al atacante que se ejecute
código que está almacenado en otro lugar, por lo
general se dá en
instrucciones “include” no
verificadas. Al igual que en la inyección de código,
se pretende tomar control del servidor, instalando
una puerta trasera o un bot.
D. Scripting de sitio cruzado (XSS)

información

Esta técnica sirve para utilizar el servidor web
como vía para realizar ataques a usuarios del sitio,
robando
o
redirigiéndoles a otras páginas. Lo que se realiza es
incluir código en el sitio, que luego es ejecutado por
el navegador web del visitante.


sesiones,

sobre

En este documento nos enfocaremos a

la
inyección de código y a la inclusión de código
remoto.

III. TRABAJO RELACIONADO

tipos

diferentes

limitada de

A. Honeypot
Un honeypot es un recurso informático, real o
ficticio, que su valor reside en el uso malicioso o no
autorizado[12]. Existen
de
honeypots, entre ellos están los de baja interacción
que solo emulan servicios, permitiendo recolectar
una cantidad
información, estos
honeypots son los mas sencillos de implementar.
Ejemplos de ellos on honeyd, nepenthes y
kfsensors. También existen honeypots de alta
interacción, que no son recursos emulados, sino
reales, son sistemas operativos preparados para ser
atacados y comprometidos, de los cuales se puede
obtener mucha mas información a través de análisis
forense, generalmente son configurados en una
honeynet, que permite controlar mucho mejor el
incidente y facilita el análisis de información [13].



B. php honeypot

Honeypot de baja

interacción que emula

VII Jornada Nacional de Seguridad Informática ACIS 2007



C. google hack honeypot (ghh)

los

por

atacantes

Este proyecto surge como reacción al uso de
buscar
google
vulnerabilidades en aplicaciones web. El ghh utiliza
la teoría de honeypots para dar mayor seguridad a
tus aplicaciones web, detectando ataques y
ofreciendo recursos simulados que son indexados
por google. [15]

para

IV. SERVIDOR DEL ITSLP

A. Antecedentes

El Instituto Tecnológico de San Luis Potosí
(ITSLP), tiene su sitio web[16] sobre un Manejador
de contenido (CMS por sus siglas en Inglés)
llamado Mambo [17] desde hace más de 2 años.
Este manejador de contenido está escrito en PHP y
utiliza MySQL como gestor de almacenamiento, se
ha vuelto muy popular recientemente y existen
cerca de 95,900 instalaciones indexadas por google
al 22 de Marzo de 2007.


A

finales del 2005, se

reportaron varias
vulnerabilidades relacionadas con Mambo,
las
cuales permitían ataques de tipo inclusión de código
remoto. Los anuncios en formato original se
muestran a continuación:


El 17 de noviembre de 2005
- Mambo "mosConfig_absolute_path" Remote

File Inclusion Vulnerability

http://www.frsirt.com/english/advisories/2005/2473


- Mambo "mosConfig_absolute_path" Remote

Command Execution Exploit

Advisory ID : FrSIRT/ADV-2005-2473
Rated as : High Risk


http://www.frsirt.com/exploits/20051122.mambo45
2_xpl.php.php

Universidad Politécnica de San Luis Potosí. González Hugo. Arania : Herramienta para colectar código malicioso.



3

webhosting y a 2 universidades.



Con estos avisos, se aplicó el parche de seguridad
al servidor, pero se comenzó a detectar múltiples
intentos de aprovechar esta vulnerabilidad. Y más
adelante se reportaron otras tantas vulnerabilidades
del mismo estilo sobre el CMS, de las cuales
también se siguen recibiendo ataques.



B. Datos recolectados

Existen diversos códigos que circulan por la red,
la más utilizada en los ataques al servidor web del
ITSLP fue un archivo llamado tool.gif, que en
realidad es código php, html y javascript para
realizar un defacement, o cambio de página
principal, descargar y ejecutar archivos.

hospedadas


Se identificaron 42 nombres de herramientas
diferentes,
sitios. La
proliferación de sitios se debe principalmente que
cuando identifican un archivo de este tipo es
cancelado o borrado. La mayoría de los sitios son de
alojamiento gratuito.

220

en


Otros códigos modificaban directamente la página
principal. Hubo diferentes implementaciones, pero
las funciones eran las mismas.


Durante los 3 meses de más intensa actividad en
que se monitoreo el servidor a través de los
registros, de destacan el total de intentos de
explotación 43656. En total se registraron 973
direcciones ip donde se generaron ataques. Las 5
direcciones con más de 500 ataques son :



Tabla 1 Lista de direcciones con más de 500 ataques
595
631
682
723
748
761
816
837
2032

212.29.217.4
213.193.212.208
81.169.182.111
81.169.134.50
212.87.13.140
218.208.21.7
66.240.226.25
81.208.30.102
193.255.143.5


Las direcciones pertenecen a servicios de

VII Jornada Nacional de Seguridad Informática ACIS 2007

V. ARANIA

A. Justificación

Luego de estar monitoreando el servidor, se
intentaron descargar el código malicioso que se
pretendía incluir, y el código del perlbot. Realizar
esta tarea de forma manual fue ardua y no siempre
se conseguía obtener la información, ya que algunos
códigos