Pesquisar

2 de set de 2008

Vírus de email já era, agora é a vez da contaminação por drive-by download.

Foi-se o tempo em que você devia entrar em sites suspeitos atrás de pornografia e warez e tinha que apertar em botões de aceitação de downloads de aplicativos e codecs, para se encher de vírus. Agora, até o usuário acima de qualquer suspeita pode ser vítima dos golpes, porque ele não vai ser estimulado a apertar em nenhum botão mal afamado e nem vai precisar instalar coisa alguma. O simples navegar em qualquer site comprometido, por mais confiável que seja, é o suficiente para disparar uma sequência de comandos invisíveis ao usuário que vão entulhar o PC da vítima de Trojans, Adwares e vírus. É cada vez mais urgente a necessidade do usuário se conscientizar dos perigos da Internet e da importância de usar um Browser confiável e atualizado, antivírus robusto, atualizado, de reconhecida eficiência no mercado.

Mecanismo de contaminação “Drive-by Download”.
O método de drive-by download de vírus de sites confiáveis tem se tornado a forma mais comum de distribuição de malwares na internet atualmente. Antigamente, os internautas podiam evitar os vírus, simplesmente não optando por fazer download e executar aplicativos, barras de tarefas e plug-ins e o grande esforço educacional era no sentido de educar as pessoas para evitar estes downloads.

Na medida em que a concientização reduziu o número de problemas por downloads consentidos, outros canais de disseminação de vírus começaram a ser criados: a automatização do processo de contaminação dos computadores das vítimas através de downloads embutidos em páginas de HTML, imagens, iframes e scripts em linguagem Java.

A contaminação do vírus não depende mais da conduta do internauta.
Quando os cibercriminosos aprenderam a usar os objetos embutidos na Web (embedded web objects) para explorar vulnerabilidades dos browsers, tais como MDAC, Shell.Object e ANI, se tornou desnecessário induzir os internautas a instalar códigos maliciosos. Doravante, os internautas podem ser infectados simplesmente visitando uma página da Web onde haja um objeto infectado, que é executado automaticamente aproveitando a vulnerabilidade do browser.

O famoso ataque ao SantaLinks.
O ataque de iframe oculto é um golpe característico do tipo drive-by download, que os distribuidores de malwares utilizam para disseminar seus códigos. O site StopBadware foi o primeiro a encontrar este tipo de ataque em dezembro/2006, quando recebeu um pedido de investigação do webmaster do site SantaLinks, que entrou na a lista negra de sites potencialmente perigosos do Google.

Quando começamos os testes, inicialmente ficamos perplexos diante da aparente paranóia do Google, já que não encontramos quaisquer links comprometidos, ou links maliciosos no site. Contudo, uma inspeção mais minuciosa no código HTML revelou um iframe oculto no botão da página que explorava automaticamente uma conhecida vulnerabilidade do Internet Explorer para instalar um malware.

O dono do site removeu o código do iframe antes do natal, porém os criminosos rapidamente reinfectaram o site, porque a vulnerabilidade que possibilitou a primeira infecção não havia sido sanada. Reinfecções são comuns em sites que sofreram ataques devido a vulnerabilidades existentes no software do servidor, enquanto estas não são removidas. O famoso ataque de iframe sofrido pelo SantaLinks era relativamente simples, mas ilustra um ponto chave para o entendimento das maneiras que a distribuição de códigos maliciosos utiliza.

O mais importante de tudo, é que o SantaLinks era completamente inocente no processo, com uma credibilidade à toda prova, sobre qual não pairava qualquer suspeita. Anteriormente, os cibercriminosos dispendiam grandes esforços para espalhar seus downloads em determinados segmentos, constituídos de presas com alto apetite por pornografia e software warez. Mas, no decorrer dos anos os internautas aumentaram suas defesas contra os riscos explícitos de tais downloads.

Atualmente, já não há necessidade de caçar usuários onanistas, já que o trabalho sujo pode ser concentrado na tarefa de comprometimento do site alvo com iframes, scripts de javascript e outros objetos e torcer para que o webmaster seja o mais tanso possível.

Par se ter uma idéia das dificuldades de detecção, vejamos o grande estrago que pode causar um simples código metido no meio de um documento longo:

Um código inocente assim pode passar facilmente despercebido por um webmaster inexperiente, mesmo que tenha o poder de disparar no browser do visitante uma seqüência de scripts Java, que dispara iframes adicionais, que provocam downloads automáticos e a instalação do vírus que vai ferrar o computador do visitante.

Ofuscando códigos maliciosos.
Caso um judicioso webmaster tome a iniciativa de investigar um misterioso iframe, ele não vai encontrar códigos explícitos, mas sim scripts Java ofuscados e ininteligíveis para os leitores humanos casuais, parecidos com as assinaturas de vírus detectadas pelos scanners de antivírus.

O seguinte exemplo ilustra um script inserido num iframe malicioso:

O mesmo código vai ter a seguinte aparência quando ofuscado:

Adicionalmente à sofisticação deste tipo de contaminação em cascata, os links encadeados podem ser redirecionamentos para diferentes domínios, em diferentes servidores, em diferentes países, tornando muito difícil de rastrear, anular e até mapear globalmente a rede de malware, já que uma simples mudança de URL em qualquer nível da infraestrutura de distribuição, pode introduzir novos códigos maliciosos, ou mudar servidores que tenham sido bloqueados ou eliminados pelos provedores de Internet pela repressão policial dos países envolvidos.

Continua em:
Como se proteger da contaminação de vírus por ataque do tipo drive-by download?

Fonte:
Reinterpreting the Disclosure Debate for Web Infections.

5 comentários:

  1. Drive-by download é típico do internet explorer.

    Visto que a matéria não mostra nenhum site que prove o que foi dito, nem mostra algum site que contamine o computador dessa forma com o uso do Opera, Firefox, K-Meleon, entre outros, tudo não passa de alarmismo.

    ResponderExcluir
  2. Esta foi a primeira parte da matéria. A segunda vai abordar o que você muito bem apontou, formas de prevenção e casos reais de sites comprometidos. O caso apontado pelo texto é o do site http://www.santalinks.com cujo domínio atualmente está à venda.
    Recentemente teve um caso aqui no Brasil, no Bradesco, um ataque de XSS.
    O problema todo é que os grandes sites dão um jeito de esconder tais informações, porque a sua reputação está em jogo e o risco de levar processo nas costas dos internautas lesados.
    Outra coisa que concordo plenamente, o Internet Explorer é o rei dos "exploits", tanto que poderia se chamar de Iexploit. Os outros browsers são menos visados, até porque o número de usuários que os utiliza é muito baixo.

    ResponderExcluir
  3. Tenso, mas nada impossível de se precaver: bloquear scripts e pop-ups de sites desconhecidos já é pelo menos meio caminho andado.

    E a propósito de: "Os outros browsers são menos visados, até porque o número de usuários que os utiliza é muito baixo". Okay, Netscape e Safari não são nenhum rei de audiência, e segundo as lendas o Opera tem um total alarmantemente alto de 7 usuários. Mas O Firefox já está bem grandinho pra ser um alvo...

    (E, a propósito, você foi indicado por mim em um post atrasado do BlogDay. Disponha. =D )

    ResponderExcluir
  4. Isaías, desculpe, mas ataques XSS, especificamente no caso do ataque que usa o site do Bradesco, dependem muito do usuário.
    Matéria publicada no Linha Defensiva:
    http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-inst-xss/

    "A mensagem contendo o link que explorava a brecha solicitava o recadastramento das “chaves de segurança” usadas nas transações através da Internet, convidando o usuário a fazê-lo por meio do link."

    Qual o usuário sensato que vai acreditar numa mensagem sem pé nem cabeça?
    Primeiro: Banco mandando e-mail aos clientes: algo suspeito;
    2) "Recadastramento(?)das chaves de segurança(?)": suspeito.
    3) erros de ortografia.

    ResponderExcluir
  5. Realmente, o ataque ao Bradesco exigia alguma intervenção do usuário. No próximo posto coloco links para outros episódios que ilustram melhor o drive-by download.
    Porém, mesmo a falha do Bradesco pode ilustrar a idéia: imagine um correntista distraidamente navegando pelas páginas do banco, quando é redirecionado para uma suposta atualização de chaves. Grande parte das pessoas, confiando que está num site seguro, não se dá conta dos erros de português e acaba enviando as informações.
    Eu já quase caí num phishing do Orkut, só porque estava distraído. Quando comecei a escrever o nome de usuário é que me toquei que se tratava de um golpe.
    A verdade é que, graças aos processos de automatização cada vez mais intensos incorporados aos browsers, os criminosos estão migrando dos golpes que requerem a ingenuidade do usuário para aqueles que exploram brechas na segurança dos browsers.
    Quando sabemos que inúmeros usuários nem se preocupam em atualizar seus browsers e mal e porcamente têm um antivírus gratuito desatualizado, podemos ter certeza que os 2 bilhões de dólares movimentados anualmente pelo cibercrime, só tem tendência a crescer cada vez mais.

    ResponderExcluir