¿Qué son los web exploits?

Los agujeros de seguridad suelen tener normalmente dos orígenes: las fallas en las herramientas preinstaladas en el ordenador, y las que vienen producidas por códigos maliciosos que corren a sus anchas por Internet

¿Qué son los web exploits?

28 diciembre 2008

LA OPINIÓN DEL EXPERTO

Hace sólo unos pocos años, podíamos hablar de un único WET (web exploit toolkit), y era el llamado WebAttaker (WA). Cuando un cibernauta era atraído a un sitio web infectado, éste escaneba al detalle el navegador, el sistema operativo, o las aplicaciones propias instaladas, y entonces enviaba contra su equipo lo que se pensaba que era un exploit, más bien para ver si tenía algún éxito. También podía rastrear la dirección IP, pero únicamente intentaba el exploit una sola vez.

Estaba basado en la idea de que si tú eras un usuario auténtico, ellos te pillarían a la primera, o nunca; ello obedecía a la idea de permanecer al acecho, donde el WebAttaker solo tenía una oportunidad de saltar sobre su presa. Pero más adelante, se empezaron a configurar WA con nuevas versiones, como una al mes, eliminando las viejas y añadiendo las actualizaciones.

En septiembre de 2006, sin embargo, cuando parecía que perdíamos el plot, empezaron a lanzarse cada dos o tres meses versiones infectadas que por desgracia no trabajaban eficazmente. Pero más o menos por la misma época, alguien lanzó al dominio público una bonita y aseada colección de exploits, escritos en Javascript, que sí “funcionaron”, y los WA parecieron desaparecer. Probablemente ellos mostraron el camino a todas esas compañías a las que no acababa de funcionar el software.

Pasados otros cuantos meses, empezamos a ver nuevas cosas que eran obviamente kits, pero no sabíamos cómo llamarlos. A falta de una mejor idea, los pusimos WebAttakers v2, aunque luego vimos que el autor los había nombrado MPack. Muy poco después se vio que éste trabajaba muy bien, y pronto aparecieron mogollón de imitadores.

Al principio de 2007 también se vio la emergencia de otro WET llamado Neosploit. Al principio, Neosploit era poco más que una copia de MPack, pero con una encriptación totalmente diferente, aunque Neo era actualizado con mucha más frecuencia (y más exactamente) que los otros kits.

Hoy, tenemos por un lado MPack, IcePack, AdPack, FirePack, GPack y varios otros “XPacks”, que son todos idénticos entre sí, y por otro a Neosploit, que es cualquier cosa excepto idéntico a cualquier otra cosa.

Todos los WET están disponibles y a la venta si sabes los sitios correctos donde buscarlos, por precios que van desde los 20 dólares hasta unos pocos cientos. Todo lo que tú tienes que hacer es añadir la ruta de tu propio keylogger, decirles dónde enviar el dinero/información de la víctima, pegar el lot en cualquier servidor, y entonces cada spam fuera del enlace, o manipular los motores de búsqueda para llevar a las víctimas hacia tu trampa.

Los WET son fáciles. Los WET son comunes. Cualquiera puede ser un webmaster malote con un WET.

Por contrapartida, el sistema “roll-your-owns” parece tener principalmente un origen chino, con sólo algunos pocos rusos (probablemente). Ellos tienden a tener un par de exploits comunes, que son también usados por los WET, pero también añaden muchos exploits específicos de los chinos, para desarrollo de software local, como la barra de herramientas del Baidu. Los “a-su-rollo” tienden a requerir mayores conocimientos que los WET, y por tanto, son menos comunes.

Una cosa que sí es común a ambos, a los WET y a los “a-su-rollo”, es que ambos quieren instalar un keylogger para principalmente robar tu dinero (aunque también pueden instalar un robot, una puerta trasera o un kit de raíz). Es interesante saber que el “a-su-rollo” (y particularmente el de los chinos) parecen estar destinado específico al robo de contraseñas para el World of Warcraft (WoW). Al parecer, ellos quieren quedarse con todos tus Virtual Gold.

Así que allá donde halla oro virtual, o dinero real, pueden aparecer para robarlo todo.

Por Roger Thompson, director de investigación deAVG