Infecciones masivas, redirecciones sospechosas, iframes con webs que redireccionan a ellas mismas, etcétera. Durante los meses que llevo desarrollando Notmining, son muchos casos diferentes los que he visto a la hora de descubrir las nuevas formas que se estaban utilizando para introducir mineros dentro de una web y, sobre todo, para que no fuesen detectados. Estos mismos métodos o sino, muy parecidos, son los que se utilizan también para introducir cualquier otro tipo de código malicioso dentro de cualquier web.
Teniendo en cuenta el caso de los mineros, para comprobar si una web está infectada, sólo tienes que introducir la URL en Notmining y te dice el script exacto que está infectado. ¿Qué pasa si la infección no es un minero y tenemos un script concreto, iframes, o directamente una inyección de código Javascript con el que se han infectado miles de webs?.
Imaginémonos que cualquier administrador web lee una noticia en la que se dice que se han producido miles de infecciones de sitios webs inyectando un código Javascript concreto. Ve ese script y descubre que contiene una variable muy llamativa, como puede ser, “elladodelmal”. La pregunta siguiente va a ser: ¿estará mi web infectada?. En ese caso tendríamos la opción de ir script por script buscando esa variable. Si es una web más o menos pequeña, quizás se haga de una forma rápida, pero si no, podemos ir preparando la cafetera.
Una demo de InspectURL
Aprovechando la forma en la que Notmining realiza el análisis, pensé que sería una buena idea crear otra aplicación, a la que he llamado Inspect URL que no estuviese limitada solo a los mineros, sino que cualquier persona pudiese comprobar, teniendo datos de una infección, si su web está infectada o no y, en el caso que lo esté, decirle donde exactamente.
Continuando con el caso anterior de “elladodelmal”, hemos decidido hacerle un análisis al blog de Chema Alonso que, seguro, no encontramos nada referido a “elladodelmal”. Lo primero que nos sale al realizar el análisis es si la web redirecciona a cualquier otra web, el nombre del dominio, la dirección IP y el país.
A continuación podemos ver el resultado del análisis de los scripts. Como podéis ver, hay dos scripts que dan positivo al análisis. En caso de infección, esos dos serían los que tendríamos que limpiar o, directamente, borrar.
Ahora , en primer lugar, vemos si hemos encontrado esa variable, dentro de las etiquetas “<script></script>”. Como podéis ver se ha encontrado. En segundo lugar, vemos si algún iframe, tiene el nombre que le hemos introducido. En este caso no hay ningún iframe que contenga en su nombre “elladodelmal” y, en tercer lugar, comprobamos, al igual que hemos comprobado los iframes, si algún script contiene el nombre “elladodelmal”.
Como podéis ver en el vídeo que os dejo en la Figura 5, es una manera muy simple de encontrar código que ya conocemos que es malicioso, o incluso código no malicioso, pero que queremos saber si esa web lo está utilizando.
Autor: José C. García Gamero.
Figura 1: InspectURL: Comprueba la seguridad de los scripts en una URL |
Teniendo en cuenta el caso de los mineros, para comprobar si una web está infectada, sólo tienes que introducir la URL en Notmining y te dice el script exacto que está infectado. ¿Qué pasa si la infección no es un minero y tenemos un script concreto, iframes, o directamente una inyección de código Javascript con el que se han infectado miles de webs?.
Imaginémonos que cualquier administrador web lee una noticia en la que se dice que se han producido miles de infecciones de sitios webs inyectando un código Javascript concreto. Ve ese script y descubre que contiene una variable muy llamativa, como puede ser, “elladodelmal”. La pregunta siguiente va a ser: ¿estará mi web infectada?. En ese caso tendríamos la opción de ir script por script buscando esa variable. Si es una web más o menos pequeña, quizás se haga de una forma rápida, pero si no, podemos ir preparando la cafetera.
Una demo de InspectURL
Aprovechando la forma en la que Notmining realiza el análisis, pensé que sería una buena idea crear otra aplicación, a la que he llamado Inspect URL que no estuviese limitada solo a los mineros, sino que cualquier persona pudiese comprobar, teniendo datos de una infección, si su web está infectada o no y, en el caso que lo esté, decirle donde exactamente.
Figura 2: Inspect URL sobre elladodelmal |
Continuando con el caso anterior de “elladodelmal”, hemos decidido hacerle un análisis al blog de Chema Alonso que, seguro, no encontramos nada referido a “elladodelmal”. Lo primero que nos sale al realizar el análisis es si la web redirecciona a cualquier otra web, el nombre del dominio, la dirección IP y el país.
Figura 3: Scripts con la cadena elladodelmal |
A continuación podemos ver el resultado del análisis de los scripts. Como podéis ver, hay dos scripts que dan positivo al análisis. En caso de infección, esos dos serían los que tendríamos que limpiar o, directamente, borrar.
Figura 4: Scripts con resultado positivo |
Ahora , en primer lugar, vemos si hemos encontrado esa variable, dentro de las etiquetas “<script></script>”. Como podéis ver se ha encontrado. En segundo lugar, vemos si algún iframe, tiene el nombre que le hemos introducido. En este caso no hay ningún iframe que contenga en su nombre “elladodelmal” y, en tercer lugar, comprobamos, al igual que hemos comprobado los iframes, si algún script contiene el nombre “elladodelmal”.
Figura 5: Prueba de Inspect URL
Como podéis ver en el vídeo que os dejo en la Figura 5, es una manera muy simple de encontrar código que ya conocemos que es malicioso, o incluso código no malicioso, pero que queremos saber si esa web lo está utilizando.
Autor: José C. García Gamero.
No hay comentarios:
Publicar un comentario