Mapeo de la Web maliciosa

Durante los últimos dos años, los ciberdelincuentes se han centrado cada vez más en encontrar formas de inyectar código malicioso en sitios web legítimos. Por lo general, lo han hecho insertando código en una parte editable de una página y utilizando este código para ofrecer contenido dañino de otra parte de la Web. Pero esta actividad puede ser difícil de detectar porque los sitios web también extraen cada vez más contenido legítimo, como anuncios, videos o fragmentos de código, de sitios externos.





Malvada telaraña: FireShark encuentra servidores potencialmente maliciosos al determinar cuáles están entregando contenido a varios sitios web.

Ahora investigador de Websense , una empresa de seguridad con sede en San Diego, ha desarrollado una forma de monitorear dicha actividad maliciosa automáticamente.

Hablando en el Conferencia de seguridad RSA La semana pasada en San Francisco, Stephan Chenette, investigador principal de seguridad de Websense, detalló un sistema experimental que rastrea la Web, identifica la fuente del contenido incrustado en las páginas Web y determina si algún código en un sitio actúa de manera maliciosa.



El software de Chenette, llamado FireShark, crea un mapa de sitios web interconectados y destaca el contenido potencialmente malicioso. Todos los días, el software mapea las conexiones entre casi un millón de sitios web y los servidores que proporcionan contenido a esos sitios.

Cuando grafica varios sitios, puede ver sus comunidades de contenido, dice Chenette. Si bien algunos de los centros de contenido que conectan diferentes comunidades podrían ser legítimos, como los servidores que proporcionan anuncios a muchos sitios diferentes, otras fuentes de contenido podrían indicar que un atacante está proporcionando código malicioso, dice. Según un estudio publicado por Websense, el uso de sitios legítimos por parte de los atacantes en línea para difundir software malicioso ha aumentado un 225 por ciento durante el año pasado.

Sin embargo, incluso los centros legítimos pueden representar una amenaza. En septiembre, por ejemplo, el New York Times reconoció que los delincuentes en línea, disfrazados de anunciantes legítimos, habían colocado contenido en su sitio a través de una red publicitaria.



Atacar una red de este tipo puede ser mucho más lucrativo que atacar un solo sitio. Supongamos que la seguridad del sitio es de primera. ¿Cómo puede un atacante malintencionado llegar al usuario? Dice Chenette. Una red publicitaria sería una buena elección.

Control remoto: FireShark descubrió que parte del contenido del sitio howtofindmyIP.com proviene de sitios dudosos alojados en Ucrania.

Los investigadores de Websense planean lanzar un complemento para el navegador Firefox que revelará los centros de contenido a los que está vinculado un sitio.



Lo interesante de todo esto es cuando los atacantes están usando, digamos, DoubleClick como vector de ataque, dice Tom Pinckney, cofundador de la empresa de seguridad web SiteAdvisor, que fue comprada por McAfee en 2006, y ahora vicepresidente de ingeniería de sitio de recomendación Hunch. Para muchos ataques, alguien compra el contenido en la red publicitaria, pero el tipo que en realidad está proporcionando el contenido en la página, Dios sabe quién es.

SiteAdvisor ofrece un complemento que proporciona un servicio similar al que ofrece FireShark. McAfee utilizó un centro de datos lleno de PC virtuales para rastrear la Web en busca de sitios maliciosos, evaluar enlaces y enviar direcciones de correo electrónico únicas que luego se monitorean en busca de spam.

FireShark profundiza más que SiteAdvisor al decodificar el código HTML, Javascript y otros códigos incrustados en cada página web que analiza, buscando la fuente de contenido definitiva, incluso si se redirige varias veces. FireShark ofrece una visión más profunda de lo que está sucediendo, dice Chenette.



Maxim Weinstein, director ejecutivo de StopBadware , una organización sin fines de lucro que ayuda a crear listas de sitios web maliciosos, dice que FireShark podría ser una herramienta interesante para los investigadores. La advertencia, dice, es que el comportamiento anómalo no siempre es malicioso. Los patrones que se ven mal suelen ser cosas buenas, simplemente anómalas, dice.

El seguimiento de la forma en que se conectan los sitios a lo largo del tiempo también podría ayudar a identificar cambios maliciosos en los sitios, dice Chenette. Añade que el complemento del navegador FireShark puede eventualmente permitir que los usuarios proporcionen información sobre los sitios que visitan a Websense.

esconder