martes, 25 de febrero de 2014

Encontrar servidores distribuyendo malware con Shodan

En la lucha contra el e-crime y el fraude online, es fundamental localizar lo antes posible cualquier nueva muestra de malware para poder analizarla y erradicarla. En el caso de las botnets, pillar al bot podría servir para generar una firma de reconocimiento o para analizar el algoritmo y localizar un sinkhole que permita tomar control de la botnet por medio de un secuestro de dominio en el que se vaya a configurar el panel de control en un día concreto, o en el caso de los kits de explotación podría servir para localizar un nuevo exploit que está siendo utilizado en Internet, o una nueva pieza de malware que se va a comenzar a desplegar desde ya.
Para eso los analistas que se dedican profesionalmente a luchar contra el e-crime buscan siempre localizar por medio de servicios profesionales las últimas muestras de cualquier cosa que huela a malware o crimen en Internet, con el objeto de estar lo más cerca posible de los malos a la hora de pelear en esa partida del gato y el ratón a la que juegan. Ahí, el servicio de Virus Total que creo  en su momento Hispasec resultó ser una fuente inagotable de nuevas muestras.
A los que trabajamos en seguridad informática en general pero sin dedicarnos en el día a día a la lucha contra el malware, también nos gusta poder tener y probar todo lo nuevo que va saliendo, incluido por supuesto las muestras de malware. Por eso son tan populares los packs recopilatorios de malware y exploits que permiten jugar con los bichos o el poder contar con repositorios de entornos vulnerables para hacer las pruebas pertinentes. 
Cuando aparece un nuevo programa malicioso como el juego que quería robarte el WhatsApp o una app maliciosa como la linterna que te suscribe a los servicios de SMS premium, a todo el mundo le gusta echarle el guante y poder jugar en detalle con ellas para aprender más de cómo se las gasta el enemigo. En un proceso más de estudio que de necesidad de luchar contra el e-crime. Buscar muestras de software de infección en Internet puede hacerse de muchas formas, pero también se puede encontrar de formas más sencillas, como haciendo un poco de hacking con buscadores y utilizando Shodan.
En el caso de que se descubra un nuevo sitio que esté infectado con un nuevo código JavaScript malicioso para lanzar los exploits de un kit de exploits como el popular Black HoleEleonore o cualquier otro que salga, lo más sencillo es poder buscar ese código JavaScript en un buscador. Y Shodan lo permite con el comando HTML con el que también se pueden buscar determinados Applets Java. Por ejemplo, en este artículo explican cómo se han localizado nuevas formas de ofuscar la infección de un kit de exploit de BlackHole.
 
Y buscando en Shodan usando el comando HTML para buscar en el cuerpo de las páginas de las respuestas, aparecen servidores donde se puede encontrar ese código JavaScript.
Esto permite que se pueda descargar y analizar, para poder jugar con las muestras.
 
Esto también se puede hacer con los sitios web que intentan bloquear los sistemas con el virus de la Policía, FBI o NSA utilizando una página web para el secuestro del navegador, ya que las páginas se pueden localizar también en servidores infectados. Esta URL que me pasó un amigo me sirvió para buscar cadenas de la página web infectadas en Shodan.
 
Y aparecieron sitios nuevos infectados con las páginas, pero en este caso del Virus de la Policía, en las que se puede ver el código HTML que utiliza para hacer el secuestro del navegador.
 
Si la infección manipula parámetros de la página web que pueden ser consultados en Google o Bing como el campo title, siempre puedes hacer uso de ellos también para localizar estos sitios infectados con muestras con los que puedas jugar.
 
Por supuesto, este no es un método completo ya que Shodan escanea Internet por servidores y no por dominios, y no hace crawling de lo sitios, pero para poder localizar un servidor con una muestra de código malicioso puntual que se quiera localizar y poder tenerla, tal vez te sirva.