Sitios web que se deforman, servidores que se vuelven nodos de redes zombis, cuentas shell y backdoors a la venta en el mercado negro… sucede a diario en Internet. Este artículo analiza la forma en que operan los causantes de todo esto, y sugiere lo que podemos hacer para evitar ser sus víctimas.
INTRODUCCIÓN
Mi colega investigador Tim Armstrong (Kaspersky Lab de EE.UU.) y yo hace poco le echamos un vistazo a una herramienta que los deformadores usan para registrar deformaciones masivas en un gran archivo comprimido de deformación. El sitio web con la herramienta deformadora también ofrecía un backdoor PHP. Movido por la curiosidad hice algunas investigaciones en Google para ver qué tan común era el backdoor PHP y si encontraría más de ellos y/o cientos de servidores comprometidos ejecutándolos.
Después empecé a analizar cómo se instalaban estos backdoors en los servidores y qué técnicas y métodos usaban los ciberdelincuentes.
En general, toda la configuración es bastante simple, pero antes de entrar en detalles me gustaría aclarar la terminología usada en este artículo en referencia a los ciberpiratas. Los términos “defacers”, “crackers” y “hackers” se usan ampliamente en la comunidad, pero los medios tienden a referirse a todos ellos simplemente como “hackers”. Sin embargo, prefiero usar el término “defacers” o deformadores para referirme a las personas que manipulan estas herramientas y juegos de deformación.
Un “defacer” es alguien a quien no le importa en absoluto qué sitio ataca; su principal objetivo es simplemente encontrar y explotar una vulnerabilidad en un servidor y después reemplazar el contenido del sitio web o subir un archivo como señal de su visita. Nadie sabe realmente por qué los deformadores hacen esto ya que no hay lucro de por medio. Sin embargo, si prestamos atención a algunos de los archivos comprimidos de vulneración, veremos que hay distintos grupos de deformadores compitiendo entre sí. Como mencioné anteriormente, aunque los medios tienden a referirse a estas personas como hackers, diría yo que los “verdaderos” hackers no atacan sitios web al azar, sino que usan sus conocimientos para realizar ataques específicos. Los hackers toman todas las precauciones para que los dueños de los sitios atacados no se enteren de su presencia.
Los ataques de los deformadores o “defacers” se conocen como “deformaciones”; existen grandes sitios web que actúan como archivos comprimidos deformadores, y existen grupos que compiten entre sí para ver quién puede deformar más sitios. Estos archivos comprimidos son de público acceso, lo que significa que todos los grupos pueden ver los triunfos de unos u otros.
Como dije líneas arriba, los deformadores no son selectivos en cuanto a sus ataques, y en la mayoría de los casos se contentan con usar herramientas automatizadas para localizar servidores vulnerables para explotarlos de manera también automática. La vulneración instala automáticamente un backdoor en el servidor comprometido con el fin de proporcionarles, por ejemplo, acceso shell a dicho servidor. El deformador puede lanzar más ataques a través de la puerta trasera, por ejemplo, para intentar ampliar sus autorizaciones vulnerando el kernel local, o registrar el servidor atacado en un archivo comprimido de deformación. Estos backdoors también están a la venta en el mercado negro; de esta manera, los compradores pueden, por ejemplo, convertir un servidor en un nodo de una red DDoS, o usarlo como nodo para reenvío de spam.
Una vez que se lanza un ataque, la deformación se registrará automáticamente en un archivo comprimido. A continuación se muestra una captura de pantalla de un backdoor que se registra en un extenso archivo comprimido de deformación:
A continuación aparecen capturas de pantalla de un sitio web donde aparecen estadísticas de grupos de deformadores.
source: www.zone-h.org
Aquí tenemos una sección especial para sitios web de alto perfil que han sido deformados; estos sitios pueden pertenecer a corporaciones, organizaciones o gobiernos. Algunos dominios de alto nivel (conocidos como TLD, por sus siglas en inglés) se consideran automáticamente como de alto perfil. Abajo se muestra una captura de pantalla de ataques dirigidos a sitios web de alto perfil:
source: www.zone-h.org
El sitio ofrece incluso estadísticas diarias, mensuales y anuales:
source: www.zone-h.org
LOS MÉTODOS
Los métodos que usan los deformadores suelen ser muy similares, incluso entre distintos grupos: tienen escáners que analizan los servidores vulnerables para explotarlos, y luego instalan en ellos backdoors que registran al atacante en el servidor infectado, y a veces funcionan como escáners adicionales.
En la mayoría de los casos, las vulneraciones utilizadas se publican abiertamente en vez de los ataques tipo día cero. Las siguientes capturas de pantalla permiten ver las vulnerabilidades publicadas abiertamente en un determinado día.
Los atacantes a menudo usan “Google Dorks” para identificar los servidores vulnerables; un “Google Dork” es un pedido de búsqueda especialmente elaborado que puede emplearse, por ejemplo, para enviar los resultados detallados de todos los sitios que ejecutan una versión específica de una determinada aplicación. En algunos casos, el backdoor descarga bases de datos que contienen Google Dorks y se convierte en un nodo de análisis para buscar y encontrar otros servidores vulnerables.
Esta es una captura de pantalla de un sitio que ofrece “Google Dorks” para VopCrew IJO Scanner v1.2:
LAS HERRAMIENTAS
Las herramientas que emplean los deformadores para detectar nuevos servidores vulnerables se concentran principalmente en dos tipos de vulnerabilidades: Remotas o LFI (siglas en inglés de Local File Include). A continuación aparece una lista parcial de estas herramientas gratuitas, todas completamente disponibles para al público:
- LFI intruso
- VopCrew IJO Scanner v1.2
- Single LFI vulnerable scanner
- SCT SQL SCANNER
- Priv8 RFI SCANNER v3.0
- PITBULL RFI-LFI SCANNER
- Osirys SQL RFI LFI SCANNER
- FeeLCoMz RFI Scanner Bot v5.0 de FaTaLisTiCz_Fx
Tal como se mencionó previamente, una vez que los deformadores detectan y explotan un servidor, proceden a instalar un backdoor. Los backdoors tiene un rango de funcionalidad, pero la mayoría de ellos contienen métodos para evitar las funciones de seguridad PHP, robo de información, lectura/modificación de archivos, acceso a bases de datos SQL, decodificación de contraseñas, ejecución arbitraria de comandos, y ampliación de autorizaciones. Durante la investigación, he detectado más de cien backdoors PHP y shells distintos, pero parece que la mayoría de ellos usan la misma base; gran parte de los backdoors identificados se basan en:
- r57
- c99
- Locus7Shell
La forma en que los backdoors intentan y logran ampliar autorizaciones se realiza principalmente mediante “auto-rooters” o extrayendo contraseñas desde los archivos de configuración localizados en el servidor infectado. Los así llamados “auto-rooters” son sólo rutinas shell que instalan un paquete de vulneración con vulneraciones precompiladas listas para ejecutarse. La rutina shell procede a analizar el equipo para saber qué vulneraciones ejecutar, y simplemente las ejecuta. Si la vulneración logra ampliar las autorizaciones, se instalará otro backdoor o rootkit. Existen varios sitios web que ofrecen estos “auto-rooters”, uno de los cuales aparece en la siguiente captura de pantalla:
LA SOLUCIÓN
Uno de los mayores problemas en la lucha contra las deformaciones consiste en que los deformadores no sólo explotan las vulnerabilidades técnicas, sino también la ignorancia del usuario. La mayoría de los usuarios que actualmente trabajan con servidores web no llegan a comprender la importancia de contar con un sistema actualizado y con todos sus parches.
Aunque los parches son importantes y relativamente sencillos, por alguna razón, uno de los problemas más delicados de seguridad es el de omitirlos. Las compañías y organizaciones a menudo invierten mucho tiempo y esfuerzos en capacitar a su personal de sistemas sobre inyecciones SQL y desbordamiento del buffer, y sobre cómo se los puede vulnerar, cuando sería más razonable concentrarse en garantizar que los sistemas cuenten con todos sus parches y estén apropiadamente configurados.
Otro gran problema es que los administradores asumen de entrada que Linux/Unix es más seguro que Windows, y se descuidan.
Una apropiada configuración puede, en cierta medida, eliminar ciertos tipos de vulneraciones. Por ejemplo, muchas de las vulneraciones mencionadas en este artículo son del tipo “File Include” que permiten al atacante incluir cualquier archivo que arbitrariamente desee; en algunos casos, estos archivos pueden provenir de sitios externos. Sólo con especificar de qué directorio puede una aplicación web o un sitio web incluir archivos, bastará para protegerse efectivamente contra este tipo de vulneraciones.
Deformaciones masivas: herramientas y trucos