Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 23 de junio de 2007

TODO LO QUE DEBERIA SABER SOBRE MPACK
"El pasado día 19 alertábamos de un ataque a gran escala contra webs europeas, que tenía como último objetivo robar las claves de acceso a la banca por Internet de los usuarios que las visitaran. Después del aviso el ataque fue neutralizado en menos de 24 horas, a día de hoy podemos ofrecer nuevos datos sobre el incidente.

Más de 11.000
páginas webs fueron modificadas para redirigir a sus visitantes de forma oculta a un tercer servidor web malicioso. El usuario afectado en ningún momento era consciente de nada anormal, veía con normalidad la web a la que se había dirigido, toda la conexión maliciosa se hacía en un segundo plano."
(Una al día, 21/06/2007, Resaca del ataque masivo a través de webs comprometidas, http://www.hispasec.com/unaaldia/3162)

¿Qué es MPack?
MPack es una de las más recientes "caja de herramientas" pensada para manejar la infección de personas y servidores. No requiere conocimientos profundos, ni tampoco demasiado trabajo manual para utilizarla. Sin embargo, no es tan nueva como algunos piensan. Desde hace más de un año han sido reportados casos de ataques provocados por esta herramienta, la que ha tenido varias actualizaciones desde su creación.

¿Cualquier persona puede acceder a MPack?
Eventualmente si, pero debe tener dinero para comprarla. MPack se vende en foros underground de Rusia a precios que van de los 500 a los 1000 dólares. El autor (un grupo conocido como $ash), clama que los ataques tienen de un 45 a un 50 por ciento de probabilidades de ser exitosos.

¿Que hace MPack?
MPack son varios módulos. Su primer objetivo es comprometer un sitio Web. Pero básicamente, el que compra el programa, debe instalar el juego de herramientas en un servidor al que pueda acceder y comprar los nombres de usuario y contraseña para conseguir el acceso a servidores comprometidos.

Entonces, el atacante modifica los archivos existentes en esos servidores, agregando etiquetas IFRAME al código HTML, para que el visitante a esos sitios sea redireccionado al servidor del atacante.

Luego de logrado esto, otros componentes de MPack explotarán los potenciales agujeros de seguridad que el usuario tenga en su computadora, para poder descargar y ejecutar otros malwares.

Cada uno de los componentes de MPack que le permite explotar nuevas vulnerabilidades, tiene un costo extra, que puede ir de los 100 a los 300 dólares, o más en algunos casos.

¿Puede un usuario "infectarse" con MPack?
Un usuario común y corriente, no puede infectarse con MPack. Ni aún visitando un sitio comprometido con MPack se infectará con MPack. Su sistema será comprometido por cualquier otro malware que se pueda instalar en su PC, solo si no tiene todo su software al día (sistema operativo y aplicaciones que utiliza, esto incluye navegadores, reproductores multimedia, programas de mensajería instantánea, chat, IRC, correo electrónico, etc.)

Si el antivirus no detecta MPack, ¿me protege de MPack?
MPack es una herramienta que jamás llegará al PC del usuario común (y si lo hiciera, no haría absolutamente nada malo allí, ya que no es su objetivo). El antivirus nos protegerá de la mayoría de los malwares que los servidores comprometidos con MPack intentarán enviarnos cuando visitemos esos sitios.

Pero no hay nada nuevo en esto. Un antivirus debe protegernos siempre de la mayoría de los códigos maliciosos que intenten atacarnos. Aquí es donde se vuelve vital un producto antivirus con capacidad proactiva, ya que con MPack o sin MPack, un antivirus debe reaccionar a las nuevas amenazas, aún antes de que estas sean identificadas con un nombre.

De todos modos, es esencial mantener todos nuestros programas al día, con todas las últimas actualizaciones instaladas, porque MPack buscará las últimas vulnerabilidades descubiertas para comprometer los sistemas de los usuarios que no actualizan su software.

El consumidor medio puede estar consciente de que debe actualizar Windows con los parches de Microsoft (aunque a veces no lo haga), pero tal vez ignore que también debe actualizar todas las aplicaciones de terceros que utiliza.
(Más información: "Nuestra seguridad no solo depende del antivirus", http://www.vsantivirus.com/21-05-07.htm)

Si tengo un servidor web ¿me puede infectar MPack?
No es MPack el que puede infectar su servidor. Si MPack puede instalarse en el mismo, o modificar sus páginas, es porque su servidor tiene potenciales agujeros de seguridad que usted
ignora. Mantener al día el software que utiliza en su servidor web, es la mejor manera de protegerse de amenazas como MPack.

MPack no es la enfermedad, es el síntoma que le indica que su sistema tiene grandes vulnerabilidades. Hasta que no las corrija, aún cuando limpie los archivos modificados por MPack, estos volverán a ser fácilmente modificados.

Esa es la única razón de la gran cantidad de sitios web comprometidos de los que la prensa ha sacado grandes titulares en los últimos días. El problema principal no es MPack, el gran problema es que una inmensa cantidad de servidores no cuidan su seguridad manteniendo su software actualizado, y no cambia regularmente sus contraseñas, las que además deben ser siempre fuertes (es decir de muchos caracteres, letras y números, mayúsculas y minúsculas, etc.).

Más información:
MPack, el gran generador de "hypes"
http://www.vsantivirus.com/rab-MPack-hypes.htm

Malware empaquetado y a la venta
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=821

Ataque vía web a gran escala
http://blog.hispasec.com/laboratorio/223

Marta Torné y el ataque basado en webs
http://blog.hispasec.com/laboratorio/224

¿Cómo comprometer más de 10.000 sitios web?
http://blog.hispasec.com/laboratorio/225

Resaca del ataque masivo a través de webs comprometidas
http://www.hispasec.com/unaaldia/3162

MPack uncovered!
http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/05/11/MPack-uncovered_2100_.aspx

MPack, Packed Full of Badness
http://www.symantec.com/enterprise/security_response/weblog/2007/05/MPack_packed_full_of_badness.html

Malicious Website / Malicious Code: Large scale European Web Attack
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=782

MPack Analysis
http://isc.sans.org/diary.html?n&storyid=3015

Fuente: http://www.vsantivirus.com/faq-mpack.htm

0 comentarios:

Publicar un comentario en la entrada