96 - Modificación de sitios web (Defacing) con objetivos económicos - 17/05/2009


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Una de las consultas más recibidas en Segu-Info es de webmasters que han sufrido la modificación de su sitio web por parte de terceros y desean saber el motivo, la forma en que se realizó dicha modificación y por supuesto la forma de evitar que suceda en el futuro [1].

El defacing es la práctica de modificar o alterar una o varias páginas web de un sitio, sin autorización de su autor o dueño y con diversos motivos como pueden ser:

  • política
  • religión
  • ciberguerra
  • ideología
  • bromas
  • cualquier otro que persiga la persona o grupo que lo realiza

Existe gran cantidad de información de defacing en Internet, incluso manuales de como realizar estas acciones, gran cantidad de grupos que los llevan adelante e incluso competencias sobre cantidad de defacing realizados [2][3].
Algunos casos recientes de defacing han sido a sitios como LHC del CERN, Google (locales), Microsoft (locales), Coca Cola y NIC (locales) [2]. Sin entrar en detalles en algunos países este tipo de modificaciones se encuentran tipificadas como delito.

Pero, como siempre se atribuye algún motivo ético y moral válido a este tipo de ataque, pocas veces se habla del motivo económico que existe actualmente detrás del mismo.

Si se analizan los casos recibidos por Segu-Info, se puede ver expresamente este tipo de ataque como una modificación masiva de sitios web persiguiendo la publicidad y promoción de otros sitios o de productos de origen fraudulento. Incluso algunos de ellos tienen el objetivo de insertar scripts dañinos para lograr la infección del usuario.

Recientemente un usuario nos consultaba sobre la "repentina" baja de velocidad en la carga de su sitio web. Analizadas y descartadas todas las cuestiones primarias de conectividad así como la consulta web con diferentes proveedores, llega la hora de analizar el hosting y el contenido del sitio web en sí mismo (supuestamente segurizado previamente).

Abriendo el código fuente de la página de inicio se puede apreciar, al final del mismo el siguiente código [img. 1] con una clara referencia a un sitio de promoción de software. Todas las líneas (alrededor de 400) son enlaces del siguiente tipo:

<a href="http://www.[ELIMINADO]/blog/wp-content/cache.php?id=3073">
Event Id 1000 In Source Microsoft Office 11
</a>

De lo anterior se pueden hacer dos lecturas muy precisas:

En primer lugar el primer sitio web ha sido vulnerado para insertar ese código al final de la página web (defacing).

En segundo lugar, el blog al que se hace referencia también ha sido vulnerado para agregar las páginas web modificadas y para contener la publicidad de los productos promocionados.

Si se ingresa a este sitio se puede ver la promoción y venta de distintos tipos de software [img. 2], lo cual demuestra a las claras la intención del defacing anterior.

La forma descripta es la más obvia y quizás menos peligrosa, pero también existen otras alternativas más complejas o desarrolladas y llevadas adelante de forma profesional por los delincuentes. Una de ellas es la inyección de scripts que logran la descarga y ejecución de archivos dañinos (malware) en el sistema del usuario, sin que este se entere.

Un caso reciente demuestra esta situación. Un sitio web muy reconocido y visitado es modificado y se agrega un script haciendo referencia a un sitio dañino, referenciado con el iframe [img. 3].

En este caso la web del atacante, descargará un archivo PDF [4] especialmente manipulado, que explota una reciente vulnerabilidad en Adobe Acrobat Reader, permitiendo la conexión a un tercer sitio, y descargando un archivo ejecutable (el malware propiamente dicho) que permite la recolección de nombre de usuarios y contraseñas. Por supuesto este escenario se puede complicar tanto como se quiera, agregando más instancias de ataque, más tipo de archivos, más vulnerabilidades, más sitios intermediarios, etc.

Este tipo de ataque denominado multistage hace referencia a la cantidad de instancias y posibilidades de explotación, es uno de los más practicados actualmente y utiliza el defacing como herramienta para infectar a miles de usuarios cada día.
Cabe aclarar que cuanto más conocido y visitado sea el sitio vulnerado, más usuarios ingresarán al mismo, infectándose, y más productivo será para los atacantes.

Si bien las medidas técnicas para evitar este tipo de vulnerabilidades son sencillas [5], algunas empresa que brindan servicios web no suelen preocuparse por estos "detalles" y tampoco lo hacen los webmasters que montan sus propios servidores web, con lo que el defacing con objetivos comerciales se ha transformado en uno de los ataques más comunes y redituables de los últimos tiempos.

Como puede verse, los "simples" defacing también esconden una alternativa viable para hacer dinero y ya no son los emblemáticos ataques que defienden una ideología determinada. Los delincuentes están más allá de eso.


[1] Boletín 135 de Segu-Info y Sitios gubernamentales argentinos vulnerados con promoción de Viagra

[2] Defacing

[3] Zone-H

[4] Los PDF son los archivos más utilizados para realizar "Targeted Attacks"

[5] Las mejores prácticas contra el hacking (de su sitio web)
http://blog.segu-info.com.ar/2009/03/las-mejores-practicas-contra-el-hacking.html
http://blog.segu-info.com.ar/2008/10/google-notificar-los-webmasters-sobre.html

Buenos Aires, 17 de mayo de 2009

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto