Propagacion de Malware | Parte 4 - Drive-byDownload

Drive-by Download

En los post anteriores, se ha hecho la mención de que la mejor forma de infectar un sistema es por medio del Internet utilizando paginas web maliciosas, con el simple hecho de que un usuario entre  este tipo de paginas, ya representa una amenaza para su información y para su mismo equipo de computo.

Cada día se mejoran los métodos de infección, los cuales en su mayoría consisten en Ingeniería social, es decir, engañar al usuario para que realice unas determinadas acciones, y que por su propia mano, termine infectado. Buscado mejorar y automatizar las técnicas de infección tenemos por consecuente, que el atacante busque infectar de manera masiva miles o millones de sistemas, partiendo de una vulnerabilidad de un sistema, o por la ingenuidad del usuario por creer el mensaje repentino que salio mientras estaba en YouTube "Has ganado 100,000,000".

Teniendo esto en cuanta, tenemos la siguiente técnica de nombre Drive-by Download el cual consiste en un meto de infección masivo simplemente cuando un usuario accede a una pagina web, en donde los creadores de malware buscan propagar sus creaciones utilizando paginas vulnerables a las cuales se les inyecta código malicioso entre el código original de la pagina.

Este ataque se lleva acabo de manera automatizada en la mayoría de los casos, mediante la aplicacion de técnicas que hacen análisis de vulnerabilidades y cuando logran encontrar alguna, inyectan un script malicioso en el cogido HTML de la pagina, en algunos casos, el script redirecciona al usuario o muestra un mensaje el cual obliga al usuario a descargar algún "complemento" para "mejorar" la experiencia al momento de visitar la pagina.

El funcionamiento es muy simple, 

1. El usuario hace una petición o accede a una pagina web maliciosa (la cual ya fue comprometida.)
2. Un archivo que se descarga o ejecuta automáticamente (script o exe) en la pagina web maliciosa a la que el usuario a accedido o ha realizado algún tipo de consulta.
3. Una vez que se descarga un script malicioso, en el sistema del usuario quien a pasado a ser una victima, el scritp realiza una conexión a un servidor malicioso denominado HopPoit del cual se descargan mas script o exploits
4. Cada uno de los script tiene la tarea de analizar el sistema de la victima en busca de vulnerabilidades, (estas vulnerabilidades suelen ser las mas comunes o típicas, a menos que se de a conocer una nueva y este en existencia un exploit para atacar esa vulnerabilidad).
5. En caso de encontrar alguna vulnerabilidad, se hace de nuevo una peticion al servidor HopPoint para la descarga de un archivo (malware).
6. SISTEMA INFECTADO

Las paginas que son mas propensas a ser vulneradas son cualquier tipo de sitios, desde paginas empresariales, universitarias, de gobierno, blogs, etc. Esto se debe a una mala administración y al olvido de pruebas de seguridad cada cierto tiempo, esto se ve reflejado en un mal plan de protección y prevención que "Todas las empresas deben tener".