El artículo de hoy se lo quiero dedicar a un curioso estudio a gran escala sobre servidores HTTP Proxy maliciosos. La verdad es que me ha llamado la atención encontrarlo antes de que se publique en el congreso al que va a ser llevado en Febrero, pero Scholar de Google me lo arrojó en los resultados cuando buscaba esta semana información sobre una nueva patente que tenemos solicitada en ElevenPaths.
Figura 1: Hay más de 1.000 servidores Proxy HTTP maliciosos en Internet... ten cuidado |
Como sabéis, allá por el año 2012 presenté el trabajo de Owning Bad Guys {and Mafia} Using JavaScript Botnets en el que explicaba lo fácil que es hacer una botnet utilizando un HTTP Proxy Malicioso abierto en Internet que manipulara el contenido de la respuesta.
El trabajo se convirtió en una presentación de BlackHat 2012 y Defcon 20 en la que recolectábamos unas muestras de sitios que habíamos descubierto con este panel tan sencillo, y en solo unas horas. No hacía falta activar mucho tiempo el HTTP Proxy Malicioso para hacerte con una buena botnet, lo que asustaba de verdad.
Figura 3: Owning Bad Guys {and Mafia} Using JavaScript Botnets en BlackHat 2012
Lo que no hicimos en aquel entonces fue un estudio exhaustivo de cuántos sitios estarían haciendo algo similar a lo que nosotros nos habíamos planteado. Y esto es exactamente lo que han realizado en el estudio del que os voy a hablar ahora mismo.
Figura 4: Paper sobre el estudio de los servidores HTTP Proxy |
Durante dos meses han estado analizando todos los servidores HTTP Proxy que han podido en Internet para saber si alguno de ellos estaba realizando algún tipo de modificación maliciosa del contenido que se estaba visitando. Y el resultado es muy interesante.
Figura 5: Más de 1.000 servidores HTTP Proxy inyectan código malicioso |
Como se puede ver en la tabla de arriba, de los más de 65.000 servidores HTTP Proxy encontrados en Internet, 7.441, es decir, casi el 40% modificaba el contenido. Algunas de esas modificaciones son simplemente la inyección de ads, pero más de un millar de los HTTP Proxy estaban inyectando código malicioso para el usuario.
Figura 6: Porcentaje de servidores Proxy HTTP públicos o bajo subscripción |
Una cosa curiosa es que, para mi sorpresa, la inyección del código malicioso no solo se realiza en servidores HTTP Proxy públicos - como lo que hicimos nosotros en el trabajo citado - sino que también servidores a los que se puede acceder solo vía subscripción también hacen uso de estas técnicas.
Figura 7: Tipo de inyecciones realizadas por los servidores HTTP Proxy que manipulan |
Los comportamientos que se inyectan son de diferentes índoles, desde la inyección de ads que ya he comentado hasta la redirección a sitios que intentan explotar vulnerabilidades o descargar malware, pasando por el robo de datos, el tracking con cookies o el control de las pulsaciones del teclado o el movimiento del ratón. Vamos, adiós a tu privacidad y tu sistema operativo si te descuidas.
Mirando dónde se encuentran los servidores HTTP Proxy con inyección de contenido con comportamiento malicioso, se puede ver que China se lleva el premio, ya que la mayoría se encuentran en sistemas autónomos de operadores chinos.
Figura 8: Ubicación de los servidores HTTP Proxy Maliciosos |
Al final, como decíamos en la charla y en el whitepaper que publicamos, un servidor HTTP Proxy es un man-in-the-middle de libro, y fiarse de que uno que te encuentras por la red de forma pública no va a hacerte nada malo es un auténtico salto de fé. De hecho, en el libro de Hacking iOS explicamos como se puede utilizar este tipo de técnicas para hackear la navegación de iPhone & iPad en un capítulo.
Saludos Malignos!
No hay comentarios:
Publicar un comentario