ESCUELA TECNICA CIENCIA APLICADA ESTECA-PC

Maestro: Gustavo Seijas

Infecciones web (drive-by-download)

Erick Alberto Hernndez fajardo

Grado: 6to Computacin
 Resumen

En la actualidad, existen tcnicas avanzadas para la propagacin masiva de cdigos maliciosos

que no solo se limitan a diseminar malware a travs de spam y clientes de mensajera instantnea,
sino que adems lo hacen a travs del acceso a determinado sitio o pgina web.
Un ejemplo de esto lo constituye la metodologa de ataque denominada Drive by Download, la cual
es una tcnica que los ciberdelincuentes aplican para propagar malware gracias al
aprovechamiento de vulnerabilidades existentes en diferentes sitios web, las cuales, una vez
explotadas, permiten la inyeccin de cdigo malicioso entre el cdigo original del sitio.
 Ataques Drive By Download: Infeccin masiva a travs de sitios
web
En la actualidad, existen tcnicas avanzadas para la propagacin masiva de cdigos maliciosos
que no solo se limitan a diseminar malware a travs de spam y clientes de mensajera instantnea,
sino que adems lo hacen a travs del acceso a determinado sitio o pgina web.

Un ejemplo de esto lo constituye la metodologa de ataque denominada Drive by Download, la cual

es una tcnica que los ciberdelincuentes aplican para propagar malware gracias al
aprovechamiento de vulnerabilidades existentes en diferentes sitios web, las cuales, una vez
explotadas, permiten la inyeccin de cdigo malicioso entre el cdigo original del sitio. El objetivo
es infectar de manera masiva los ordenadores de los usuarios desprevenidos con solo ingresar a
un sitio web comprometido.

Generalmente, el proceso de ataque se lleva a cabo de manera automtica gracias a la

implementacin de aplicaciones que trabajan en bsqueda de vulnerabilidades en servidores y
sitios web, las cuales, una vez encontradas, son aprovechadas para insertar script maliciosos entre
el cdigo genuino del sitio web vulnerado.

El usuario malicioso (atacante) inserta en la pgina web vulnerada un script malicioso y luego el
proceso contina de la siguiente manera:
1. Otro usuario (vctima) realiza una consulta al sitio comprometido (accede a la pgina web).

2. El sitio web consultado (servidor o aplicacin web vulnerada) devuelve la peticin

(visualizacin de la pgina) que contiene embebido en su cdigo el script daino previamente
inyectado.
 3. Una vez que el script se descarga en el sistema de la vctima, establece una conexin pero a
otro servidor, denominado Hop Point, desde el cual descarga otros scripts maliciosos que
contienen diversos exploits.

4. Cada uno de estos exploits tienen el objetivo de comprobar la existencia de vulnerabilidades

que puedan ser explotadas en el equipo vctima.

5. En caso de encontrar alguna vulnerabilidad, se ejecutar una instruccin que invoca la

descarga de un archivo ejecutable (el malware) desde otro servidor o desde el mismo Hop Point.

6. Se infecta el equipo de la vctima.

En consecuencia, la infeccin del equipo se habr llevado a cabo a travs de vulnerabilidades en

el sistema del usuario. Los script maliciosos involucrados en ataques Drive-by-Download contienen
exploits cuyo objetivo primario es comprobar la existencia de vulnerabilidades en el sistema vctima
que puedan ser explotadas para infectarlos.

Encontrar este tipo de infeccin es cada vez ms comn en sitios de cualquier ndole; desde
sitios web de empresas con administracin deficiente, que no son mantenidos de forma apropiada,
o en aquellos blogs, CMS o foros que contienen vulnerabilidades en su cdigo fuente y son
hallados por los atacantes.
Cmo prevenir este tipo de ataques?
Sin duda, la implementacin de prcticas de navegacin seguras, permiten mitigar los riegos
asociados a sufrir un ataque de este tipo. Desde el centro de amenazas de ESET Latinoamerica,
proponen los siguientes consejos que ayudan a prevenir infecciones de este tipo, los cuales
compartimos:
o Implementar una solucin de seguridad antivirus con capacidades de deteccin proactiva
como ESET NOD32 que, a travs de mecanismos de Heurstica Avanzada, permita detectar
cdigos maliciosos desconocidos.
o Mantener todas las aplicaciones, incluso el programa antivirus, actualizadas con los
parches de seguridad. Por lo general, las aplicaciones incluyen una opcin que permite comprobar
la existencia de nuevas actualizaciones.
o Del mismo modo, siempre se debe tener presente actualizar el sistema operativo con los
ltimos parches de seguridad.
o Evitar hacer clic sobre enlaces desde pginas web de procedencia dudosa o que se
encuentren incrustados en el cuerpo de correos electrnicos, prestando especial atencin al correo
electrnico no deseado (spam).
o Verificar hacia dnde redireccionan los enlaces. Con slo pasar el cursor sobre el enlace,
es posible visualizar desde la barra de estado hacia qu sitio web redirecciona el vnculo.
o El bloqueo de determinados sitios considerados maliciosos, ya sea porque descargan
malware o porque contienen material de dudosa reputacin, es tambin otra de las mejores
prcticas que ayudan a la prevencin y refuerzan la seguridad del equipo.
o En caso de ser administrador de un sitio web, realizar la actualizacin de todas las
aplicaciones web y controlar las mismas para localizar cualquier tipo de script que pueda haber
sido insertado por terceros.

Sabes cmo funciona un malware?

Drive-by download, que tambin es conocido como Drive-by Exploit, se refiere a un malware que
se instala en tu computadora (o dispositivo mvil) con el slo hecho de visitar pginas en Internet
que estn infectadas por este tipo de amenaza. El nombre mismo de esta amenaza revela su
naturaleza, que se puede traducir a espaol como descarga al pasar (no hay una traduccin
oficial al idioma espaol).

Al decir que es una descarga al pasar, se implica que no se requiere de una interaccin explcita;
este malware se encuentra en el mismo cdigo HTML de las pginas infectadas (hacen un buen
trabajo para ocultar el cdigo malicioso) y el slo hecho de cargarlas en tu navegador de Internet
hace que se contamine tu computadora.

Lo ms preocupante de esta amenaza es precisamente que la pgina comprometida pudiera ser

una pgina que has visitado cientos de veces y en la que confas plenamente. Por razones obvias,
son esas pginas las que ms tratan de comprometer hackers para instalar este malware.

En mayo de 2012 se registr uno de los primeros ataques a un dispositivo Android, lo que dio a
conocer al mundo que esta amenaza est latente tambin en dispositivos mviles.

Qu puedo hacer para evitar esta drive-by download?

Las recomendaciones para evitar esta amenaza es son similares a las que se mencionan para
muchas otras en Internet:

Asegrate de que tu navegador de Internet se encuentra actualizado (ests usando la ltima

versin). En la mayora de los navegadores puedes saberlo visitando su opcin de Acerca de...
(About).

Asegrate de que tu sistema operativo est al da (ya sea OS X o Windows), ya que lo que se
aprovecha para esta infeccin son vulnerabilidades tanto en sistema operativo como en
navegadores. Si utilizas software viejo corres ms riesgos.
Evita hacer clic en enlaces de origen dudoso.

Utiliza herramientas para hacer bsquedas seguras o que te den informacin de qu tan confiable
es una pgina.

Si utilizas productos de seguridad (como Norton o McAfee) asegrate de que estn al da y

funcionando.

El Centro de Sistemas de Informacin Segura (CSIS) de la Universidad George Mason y Northup

Grumman Information Systems han concebido un nuevo planteamiento para securizar los
ordenadores que consiste en utilizarlos como sensores. La idea fue expuesta recientemente con
ocasin del evento Cyber Infrastructure Protection Conference celebrado la pasada semana en
Nueva York, donde tambin se habl de nuevos ataques DoS a las redes inalmbricas o de un
nuevo mtodo para detectar infecciones en las redes corporativas.

Anup Ghosh, profesor investigador y cientfico jefe de CSIS, afirma que las medidas de seguridad
perimetral como firewalls y antivirus fallan a la hora de captar la mayora de los ataques drive-by
download. Dice que lo que funciona es que los usuarios ejecuten sus navegadores web en un
software de mquina virtual, que actuara como buffer aislando el malware de las mquinas
anfitrionas. De esta manera, los usuarios se convertiran en sensores que protegen las redes
empresariales.

Los usuarios se infectan visitando sitios web 2.0, explica Ghosh. Las pginas aparentemente
seguras tambin se estn viendo comprometidas. Tiene que ver con la web 2.0 y con sites donde
los usuarios contribuyen con contenidos. Los usuarios pueden poner en ellas Java script tan fcil
como si fuera HTML. Ahora hay muchas infecciones que proceden de Facebook y Blogspot. Los
usuarios finales no tienen que pinchar en un enlace y seguir un hilo. Con un ataque tipo drive-by,
no se necesita engaar al usuario. Simplemente visitas tu pgina web favorita y te infectas del
software cargado por otro.
La propuesta de Ghosh se denomina Internet Cleanroom (sala blanca para Internet) y crea bajo
demanda una mquina virtual de nico uso cuando se necesita para navegar por Internet y luego
desaparece despus de utilizarse. Ese sensor proporcionara posteriormente informacin sobre
ataques de malware a una base de datos que recopila los sites que intentan romper el entorno
virtual del usuario. Internet Cleanroom se comercializa a travs de la start-up llamada Secure
Command.

Ahora pretendemos convertir a nuestros usuarios hasta el momento nuestros enemigos en

sensores, explica este ingeniero. Queremos convertir a todos los usuarios en un sensor colector
para ver lo que pasa ah fuera. Estamos utilizando el navegador porque es la pieza de software que
todo el mundo utiliza. Y es una pieza de software atacada.

Ghosh reconoce, no obstante, que su propuesta requiere un trabajo extra porque los usuarios
deben ejecutar software virtual en sus sobremesas, si bien considera que su herramienta es una
solucin ms eficaz contra los ataques drive-by download que los planteamientos basados en
firmas utilizados hoy en da. Capturamos el ataque en todas las webs donde se infecta un usuario.
Es muy raro que haya una firma existente.

Cmo se produce la infeccin?

Existen sitios web que se encuentran infectados con este tipo de malware. Especficamente, fueron
inyectados con cdigo que utilizan iframes para conectarse a sitios remotos y descargar el
malware. Generalmente el cdigo se encuentra al final del sitio web y utiliza etiquetas propiamente
configuradas, como por ejemplo la etiqueta style con el valor hidden, para ocultarse de la vista del
usuario.
Sitios con cdigo inyectado
Por lo tanto cuando un usuario navega por el sitio comprometido, automticamente comienza la
descarga de la amenaza. Cuando finaliza la descarga, el sistema operativo informa al usuario
mediante una notificacin para que autorice la instalacin de la supuesta actualizacin. Aqu es
donde entra en juego el engao de que la amenaza es una actualizacin para que el usuario
autorice su instalacin. Cabe destacar que Android debe tener habilitada la opcin de unknown
sources (fuentes desconocidas) para permitir la instalacin de aplicaciones fuera de Google Play
porque, de lo contrario, bloquea aquellas que estn fuera del market oficial.
Otro aspecto que llama la atencin es que cuando se accede al sitio web desde un dispositivo que
no utiliza Android, la descarga de la amenaza no se produce. Si ocurre si se accede desde el
propio mvil con Android. Esta comprobacin se lleva a cabo mediante el user-agent del
navegador, el cul determina desde que plataforma se est accediendo.
Actualmente no se ha descubierto que la amenaza provoque dao al dispositivo, pero si puede ser
utilizada para obtener acceso a los datos privados del mismo. Esto puede extenderse al caso de
dispositivos mviles que se usan en las organizaciones o empresas con fines comerciales,
abriendo la posibilidad del robo de informacin sensible.
Debido a la aparicin de este tipo de amenazas, es importante instalar aquellas aplicaciones que
provengan de un sitio de confianza o sean conocidas, as como tambin contar con una solucin
de seguridad para dispositivos mviles que permite proteger los datos del usuario y elimine este
tipo de malware.

Infeccin a travs de sitios web: un malware que crece

Todos los das, el Laboratorio de Investigacin de ESET Latinoamrica recibe muestras y reportes
de la regin los cuales son analizados por nuestro equipo con el nimo de identificar tendencias o
amenazas relevantes para los usuarios. Este post trata de una amenaza actual cuya tendencia es
creciente a nivel global, y que ha afectado a usuarios de Chile, que tan solo por acceder a un sitio
web legtimo pueden ver su computadora infectada.
el anlisis de Bicololo.A: un malware que se aloja en Latinoamrica y afecta usuarios rusos. Esta
amenaza se caracterizaba por el hecho de que el usuario deba ejecutar la aplicacin manualmente
para que las acciones maliciosas empezaran a afectar su computadora. En este caso, sin
embargo, nos llam la atencin un sitio de contenidos para adultos, de Chile, que tuvo ms de 30
muestras de malware (de la misma variante) detectadas en un mismo da. Si bien este sitio web no
es malicioso, se ha aprovechado la presencia de vulnerabilidades en el mismo para inyectar cdigo
malicioso. As, cualquier usuario que simplemente entre al sitio, incluso sin tener ningn tipo de
interaccin con el mismo, es susceptible de ser atacado si no cuenta con la proteccin adecuada.
Como primer paso del anlisis, se ingresa en el sitio web desde una computadora con un entorno
controlado. Aparentemente no ocurre nada extrao, pero si se analiza el cdigo fuente de la pgina
web devuelta por el servidor, se encuentra un script algo sospechoso:

A simple vista se percibe que el script se encuentra ofuscado, lo cual no implica necesariamente
que esconda un comportamiento malicioso, ya que los desarrolladores podran haberlo ofuscado
para proteger su cdigo. Sin embargo, al mirar todos los otros scripts en la pgina, se observa que
los dems no estn ofuscados, lo cual es extrao. En la siguiente imagen se observa el cdigo del
script:
Bsicamente, al convertir el arreglo de nmeros del sistema numrico octal al decimal, y restarle 7
a cada elemento, se obtiene otro arreglo de nmeros que se corresponde con una sucesin de
cdigos ASCII. Al obtener la representacin de esos nmeros, se puede ver el script desofuscado:

Se aprecia que dicho script utiliza un iframe oculto para realizar una solicitud a un servidor
malicioso. Si se contina interceptando los paquetes, y se analiza la peticin, se observa que
ocurre una redireccin a otra pgina dentro del mismo servidor. Luego, se solicita otra pgina web,
cuyo contenido se muestra en la siguiente pgina:
Esta pgina tiene compresin gzip, por lo que, en este caso, podemos aprovechar las facilidades
que otorga Wireshark para visualizar los objetos que intervienen en la comunicacin. As, si se
utiliza el men para exportar objetos http, se podr tener acceso a los mismos, en particular a la
pgina comprimida que se mencion antes:

Al exportarla, se obtiene la misma sin compresin, lo cual permite analizar su cdigo fuente. El
anlisis de este cdigo se omite, pero vale la pena mencionar que consiste en ms datos y scripts
ofuscados. Siguiendo el flujo de la comunicacin con el servidor, se vern ms redirecciones y
pginas web intermedias, hasta llegar a la pgina que se muestra en la siguiente imagen:
La imagen anterior consiste en una parte del cdigo fuente de esta pgina. A partir del mismo se
observa la existencia de un applet de Java, el cual puede ejecutar cdigo malicioso en la mquina
del usuario. Tambin se nota la existencia de un archivo ejecutable de Windows dentro de los
parmetros definidos para el applet, posiblemente encapsulando la funcionalidad maliciosa en s.
Como resultado de este anlisis, se observa que un usuario que no est debidamente protegido
contra la amenaza podra sufrir la ejecucin de cdigo no deseado en su computadora, tan slo por
visitar un sitio web. Esta amenaza es detectada por ESET como JS/Kryptik.AMI. Cabe destacar,
adems, que esta es una amenaza muy reciente, la primer firma fue agregada a la base de datos
data del 9 de julio, y su tasa de deteccin est en crecimiento, como se puede ver en la siguiente
imagen:
Cmo puedo prevenir una infeccin en mis sitios web?
La gran mayora de las infecciones se producen por el desconocimiento del webmaster, y es por
ello que desde Profesional Hosting tratamos de concienciar a nuestros clientes de la importancia
de tener sus sitios web actualizados, tanto el Script que utilice as como todos sus componentes
mdulos y themes, ya que el no hacerlo entraa un alto riesgo para nuestro sitio. Pero estos
factores no son los unicos que pueden poner en peligro la seguridad de nuestra web, tambin el
hecho de utilizar mdulos o themes nulled, puede dar lugar a que nuestra web sea infectada, ya
que es muy difcil detectar que puedan llevar cdigo malicioso.

Cmo puedo detectar una infeccin en mi web?

Detectar hoy en da una infeccin en nuestro sitio web es relativamente fcil y no preciosa de
conocimientos tcnicos gracias a la gran cantidad de recursos que podemos encontrar en Internet,
las infecciones ms comunes y simples son aquellas que introducen cdigo malicioso en algn
fichero, para ello disponemos por ejemplo de dos pginas que nos ayudaran a analizar nuestra
web en busca de cdigo malicioso en sus archivos; www.sitecheck.sucuri.net y
www.siteguarding.com/en/sitecheck, pero esto no quiere decir que no existan ms complejas las
cuales tienen que ser detectadas y revisadas por tcnicos.

Con estas dos pginas podremos analizar los ficheros de nuestro sitio web y nos informara en el
caso de que estn infectadas pero no nos avisaran en el caso de que nuestra base de datos sea la
que contiene la infeccin.

Cmo desinfectar nuestra web?

Una vez infectada nuestra web el procedimiento es restaurar una copia anterior a la infeccin para
que el cliente puede actualizar su sitio y prevenir la, en el caso de que no se disponga de una copia
ser necesario eliminar el cdigo que se encuentre en los ficheros, para ello en Profesional Hosting
contamos con el servicio de desinfeccin Find and Fix de Sitecheck, el cual se vincula con el
dominio de nuestra pgina y analiza de forma peridica nuestro sitio web para eliminar futuras
infecciones que puedan surgir en nuestra web e indicarnos si nuestro se puede encontrar en riesgo
por un alto grado de vulnerabilidades.
 Conclusiones

Existen sitios web que se encuentran infectados con este tipo de malware.
Especficamente, fueron inyectados con cdigo que utilizan iframes para
conectarse a sitios remotos y descargar el malware. Generalmente el cdigo se
encuentra al final del sitio web y utiliza etiquetas propiamente configuradas, como
por ejemplo la etiqueta style con el valor hidden, para ocultarse de la vista del
usuario.

La gran mayora de las infecciones se producen por el desconocimiento del

webmaster, y es por ello que desde Profesional Hosting tratamos de concienciar a
nuestros clientes de la importancia de tener sus sitios web actualizados, tanto el
Script que utilice as como todos sus componentes, ya que el no hacerlo entraa
un alto riesgo para nuestro sitio. Pero estos factores no son los nicos que pueden
poner en peligro la seguridad de nuestra web, tambin el hecho de utilizar
mdulos puede dar lugar a que nuestra web sea infectada, ya que es muy difcil
detectar que puedan llevar cdigo malicioso.
 Bibliografa
Centro de Amenazas ESET Latinoamrica, recopilado el 04 de junio de 2017 de
http://liacolombia.com/2010/08/ataques-drive-by-download-infeccion-masiva-a-traves-de-sitios-web/

Por Luis Castro, Experto de Internet bsico, Recopilado el 4 de junio de 2017 de

http://aprenderinternet.about.com/od/Glosario/g/que-es-drive-by-download.htm

CSO Digital, Recopilado el 4 de junio de 2017 de

http://cso.computerworld.es/alertas/nuevo-metodo-para-protegerse-de-los-ataques-driveby-
download

Secretara Nacional de tecnologa de la informacin y comunicacin, Recopilado el 4 de junio de

2017 de
https://www.cert.gov.py/index.php/noticias/ataque-drive-download-ataques-desde-webs-legitimas

Welivesecurity Eset Logo Noticias, opiniones y anlisis de la comunidad de seguridad de ESET,

publicado por Fernando Catoira el 3 MAY 2012, Recopilado el 5 de junio de 2017 de
https://www.welivesecurity.com/la-es/2012/05/03/android-primer-malware-drive-by-download/

Recopilado el 5 de junio de 2017 de

https://www.profesionalhosting.com/soporte-en-linea/guias-de-prestashop-wordpress-
magento/detectar-infeccion-en-mi-sitio-web.html