lunes, 17 de marzo de 2008

Variables del Phishing. Ofuscación de URL

Muchos ataques de Phishing convencen al receptor del mensaje a seguir un hiperenlace (URL) al servidor del atacante, sin que se den cuenta de que han sido “duped” (ofuscados). Desgraciadamente los phishers tienen acceso a un arsenal cada vez más grande de métodos para ofuscar el destino final de la Web. Los métodos más comunes de la ofuscación de URL incluyen:
1. Dominios de nombre erróneos: Es Uno de los métodos de ofuscación más trivial es a través del registro y el uso determinados nombres de dominio maliciosos. Considere una entidad MiBanco con el dominio registrado “mibanco.com” y la Web Site asociada para transacciones “http://privado.mibanco.com”. El Phisher podría establecer un servidor que utilizará cualquiera de los nombres siguientes tendiendo a ofuscar el servidor verdadero del destino:

• http://privado.mibanco.com.tk
• http://mibanco.privado.com
• http://privado.mibanca.com o aún http://privado.mibánco.com
• http://privado.mibanco.sitiospoof.com

Es importante notar que los registradores de dominio están internacionalizados sus servicios, es posible registrar los nombres del dominio en otros idiomas y sus juegos de caracteres específicos. Por ejemplo, la cirílica "O" parece idéntica al estándar ASCII "O" pero se puede utilizar para propósitos diferentes de registro de dominio – tal como una compañía que registró Microsoft.com en Rusia hace algunos años. Finalmente, resaltar que aún el juego de caracteres estándar ASCII permite ambigüedades tales como la mayúscula “I" y la minúsculas "L". (I Vs l en arial)

2. Friendly login de URL’s: Muchas implementaciones comunes del navegador de Internet tienen en cuenta URL’s complejos que puede incluir información de autenticación tal como un nombre de login y la contraseña. En general el formato es URL: //usuario:contraseña@hostname/path. El Phishers puede sustituir los campos del nombre de usuario y la contraseña con detalles asociados a la entidad del objetivo. Por ejemplo el URL siguiente http://mibanco.com:ebanking@sitiospoof.com/phishing/fakepage.htm pone el nombre de usuario = mibanco.com, la contraseña = ebanking y el hostname de destino = sitiospoof.com. Esta URL de entrada amistosa puede engañar exitosamente a muchos clientes en el pensamiento que ellos visitan realmente la página legítima de MiBanco. A causa de su éxito, en muchas versiones actuales de navegadores ha dejado de funcionar este método de ofuscación.

3. Acortación de la URL por terceros: Debido a la longitud y la complejidad de muchas URL’s de Web, combinado con la manera que la URL puede ser representada y visualizada (p.e. los espacios extra y saltos de línea en la URL), servicios de terceros han aparecido ofreciendo servicios gratuitos designados a proveer de URL’s más cortos. Una combinación de la ingeniería social con una URL deliberadamente rota, larga o inexacta es usado por los Phishers para ofuscar el destino verdadero. Los servicios gratuitos más populares como http://smallurl.com y http://tinyurl.com.
Por ejemplo:

4. Ofuscación de URL: Para asegurar el apoyo a los idiomas locales en el software del Internet tal como navegadores de Internet y Clientes de correo electrónico, la mayoría de los software soportan alternativas de sistemas de codificación. Es una práctica trivial para un Phisher el ofuscar la verdadera naturaleza de una URL suministrada que utiliza una (o una combinación) de estos esquemas de codificación. Estos esquemas de codificación tienden a ser soportados por la mayoría de los navegadores de Internet, y pueden ser interpretados de maneras diferentes por Servidores Web y sus aplicaciones más comunes.
Los esquemas típicos de codificación:
· Escape encoding: Escape-Codificar, o se refiere a veces a tanto por ciento-codificado, es el método aceptado de representar los caracteres dentro de una URL que puede necesitar una sintaxis especial para ser correctamente interpretada. Esto se logra codificando el carácter especial para ser interpretado con una sucesión de otros tres caracteres. Este trío consiste en el carácter del porcentaje "%" seguido por dos dígitos hexadecimales que representan el código de octeto del carácter original. Por ejemplo, el juego de caracteres EEUU-ASCII representa un espacio con el código de octeto 32, o hexadecimal 20. Así su representación de URL-encoded es “% 20”.

· Unicode encoding: Unicode encoding es un método de referenciar y almacenar los caracteres con múltiples bytes proporcionando un número referencial para cada carácter no propio del idioma ni de la plataforma. Se diseña para permitir un Juego de caracteres Universal (UCS) y abarcar la mayor parte de los sistemas de escritura del mundo. Muchos estándares modernos de comunicación (tal como XML, Java, LDAP, el Javascript, WML, etc.), Sistemas operativos y clientes/servidores Web utilizan los valores de Unicode. Unicode (UCS-2 ISO 10646) es un sistema de codificación de caracteres de 16 bits que contiene todos los caracteres (216 = 65.536 caracteres diferentes) de uso corriente en los idiomas más importantes. Las plataformas de Microsoft Windows codifican los caracteres de Unicode en el formato siguiente - %u0000 – por ejemplo %u0020 representa un espacio, mientras %u01FC representa Ǽ y %u221E es ∞.

· Inapropiado UTF-8 encoding: Uno de la mayoría de los formatos comúnmente utilizados, Unicode UTF-8, tiene la característica de preservar la gama repleta de los caracteres EEUU-ASCII. Esta gran flexibilidad proporciona muchas oportunidades para disfrazar los caracteres estándar en grandes secuencias de escape-encoded. Por ejemplo, el punto "." puede ser representado como %2E, o %C0%AE, o %E0%80%AE, o %F0%80%80%AE, o %F8%80%80%80%AE, o aún %FX%80%80%80%80%AE.

· Codificación múltiple: Varias guías y RFC explican con cuidado el método de decodificar los caracteres de escape-encoded e insinúa los peligros asociados con decodificar muchas veces y en múltiples capas de una aplicación. Sin embargo, muchas aplicaciones todavía analizan sintácticamente e inexacta muchas veces los datos escape-encoded. Consecuentemente, los Phishers pueden ofuscar aún más la información de URL codificando muchas veces los caracteres (y de formas diferentes). Por ejemplo, la barra inversa "\" se puede codificar como %25 originalmente, pero podría ser extendido a: %255C, o %35C, o %%35%63, o %25%35%63, etc.

5. Ofuscación del nombre del Servidor: La mayoría de los usuarios de Internet están familiarizados con los sitios y servicios por el nombre calificado del dominio, tal como www.mibanco.com. Un cliente de navegación por Internet necesita, para establecer la comunicación, que esta dirección sea resuelta a una dirección de IP, tal como 209.134.161.35 para llegar al Web Site de www.mibanco.com. Esta resolución de la dirección de IP se logra por servidores de nombre de dominio (DNS). Un Phisher puede utilizar la representación de la dirección de IP como parte de una URL para ofuscar el servidor y evitar posibles sistemas de filtro de contenido, y esconder el destino final. P.e. la URL: http://mibanco.com:ebanking@sitio.com/login.htm podría ser ofuscada como: http://mibanco.com:ebanking@210.134.161.35/login.htm. Mientras algunas victimas conocen la representación clásica de punteó-decimal de direcciones de IP (000.000.000.000), la mayoría de ellas no están familiarizadas con otras representaciones posibles. Utilizar estas otras representaciones de IP dentro de un URL, permiten oscurecer aún más el servidor de destino de una inspección regular.
Dependiendo de la aplicación que interpreta una dirección de IP, es posible que haya una variedad de caminos para codificar la dirección de otra manera que el formato clásico de punteó-decimal. Los formatos alternativos incluyen:

Dword: Significa doble palabra porque consiste esencialmente de dos "palabras" binarias de de 16 bits; pero se expresa en decimal (base 10),
Octal: La dirección es expresada en base 8
Hexadecimal: La dirección es expresada en base 16.

Estos formatos alternativos se explican mejor viendo un ejemplo.
Considere el URL http://www.sitio.com/, resolviéndose a 210.134.161.35. Esto se puede interpretar como:

decimal: http://210.134.161.35/
Dword: http: //3532038435/
Octal: http://0322.0206.0241.0043/
Hexadecimal: http://0xD2.0x86.0xA1.0x23/o aún http: //0xD286A123/
Mezclando formatos: http://0322.0x86.161.0043/).

9 comentarios:

nuria dijo...

En este segundo artículo trata sobre las formas de ofuscar, ocultar o intentar cambiar la verdadera web de inicio y desviar al receptor del mensaje a la URL del phisher para obtener la información deseada.

Nuria Pujol Gutierrez
11339860

G dijo...

Este post nos explica que hay diversas maneras de ocultar una URL y de poder redirigir la comunicación del usuario para que vaya a la página deseada por el phisher.

Armand Guillermo

Xenia dijo...

MPack es un malware creado en el 2006 por hackers rusos y algunos añadidos de otros países, este. esta "caja de herramientas" esta pensada para manejar la infección de personas y servidores.
su primer objetivo es comprometer un sitio Web, una vez instalado en un servidor se puede acceder y comprar los nombres de usuario y contraseña para conseguir el acceso a servidores comprometidos. entonces se modifican los archivos existentes en dichos servidores para que el visitante de estos sitios sea redireccionado al servidor del atacante.

Xenia Rodriguez

ANNA REIXACH dijo...

Tal y como se puede dar a entender, RBN, es una empresa fantasma que ha causado grandes estragos en la red, con su ciberterrorismo, pornografía infantil y su fraude. RBN ha sido un servidor que se ha dedicado a alojar miles de paginas phishing, y no solo eso, sino que también esta relacionado con el malware, por eso mucha gente ha bloqueado todo servidor que tenga conexión con los malware.
Se le denomina Flyman, y por lo que se sabe, todos los apodos que aparecen relacionados con esta empresa ( Akimon, Nicolay Ivanov y Nevacon), en realidad es la misma persona o líder. Aunque a ciencia cierta no se sabe quien es.
También se da a entender que es una empresa bastante escurridiza que al mínimo señal de poder ser detectado, desaparece sin dejar rastro, aunque recientemente se cree que puede volver a aparecer en la China.

anna reixach
niub 11190196

maria dijo...

El refugio:

RBN proporciona alojamiento e infraestructuras web a la creciente industrial del malware, desde donde se descargan los troyanos y hacia donde viaja la información robada. Se dice que la mitad del phishing mundial está alojado en alguno de sus servidores.Conocida anteriormente como TooCoin o ValueDot, utiliza la caja de herramientas, Mpack como una más de sus formas de ataque; el impedir acceso a servidores en la RBN no sirve de mucho, enrutan las conexciones a otras webs comprometidas.
phising bancario:El año pasado fue infectada la página web del Banco de la India, su código presentaba varios iFRAMES inyectados, de forma que quien la vistaba se le redireccionnaba automática y trasparente a otras webs donde sin quererlo el vistante se descargaba y ejecutaba troyanos bancarios.
Mpack: sistema PHP, generador de exploits, inyectando a quien visite los servidores comprometidos, buscando los fallos de seguridad del solfware empleado por la víctima; uno de los servidores centralizados, monotoriza a los infectados y hace un estudio estadístico de su éxito (llegando a ser normalmente del 45-50%)y se vende por unos 1000. dolares.
Otras formas de ataque: alojar malware en servidores de terceros (para dificultar su localización), introducir ciertas palabras muy buscadas en webs donde están alojados, comprar dominios con nombres similarres a sitios conocidos, enviar correos masivos con enlaces del tipo que sea (en este punto entra la llamada ingenieria social, para encontrar el anzuelo adeuado) dónde esa información será reenviada al servidor complice.

Las diferentes modalidades de obtención de datos para fines delictivos, o la hospedación impune de webs en servidores comprometidos, nos muestra por ejemplo como Mpack no es más que un tirachinas, desde donde se puede lanzar cualquier otro malware; por lo que para el usuario final la defensa más sencilla es mantener el SISTEMA y las APLICACIONES, actualizadas con los últimos parches; si uno no tiene el sistema al día, Mpack es sólo una amenaza más. En el caso de servidores web, si Mpack se instala en el mismo o modifica sus páginas, es porque dicho servidor tiene agujeros de seguridad que se ignoran, por tanto es sólo un síntoma, sino se corrigen las vulnerabilidades de los sistemas, por mucho que se limpien archivos, volverán a infectarse.

si deseais comprobar si algún código malicioso ha atacado vuestro PC, podeis usar de forma gratuita via online, TotalScan o NanoScan: www.infectedornot.com


NIUB 11177935

suguegui dijo...
Este comentario ha sido eliminado por el autor.
Jéssica dijo...

La Red de Negocios de Rusia (comúnmente abreviado como RBN) es una polifacética organización de delincuencia cibernética, especializada en monopolizar el robo de identidad personal para su reventa. Es el iniciador de MPack (software) y el operador de la Tormenta botnet. El RBN se inició como un proveedor de servicios de Internet para la pornografía infantil.
RBN ha sido descrita como "la baddest de los malos". Ofrece servicios de alojamiento web y acceso a Internet a todos los tipos penales y de actividades de dudosa reputación, con actividades individuales que ganan hasta $ 150 000 000 en un año.
El negocio es difícil de rastrear. No se trata de una empresa registrada, y sus dominios se registran para las direcciones anónimas. Sus propietarios son conocidos sólo por apodos.
Hay una actividad cada vez más conocida de la RBN que es método de entrega mediante la aplicación de falsos anti-spyware y anti-malware con el fin de robar el PC y la identidad personal. La metodología consiste en atraer al usuario a utilizar una "descarga gratuita" para comprobar si el software espía o malware en su PC, muestra un mensaje de advertencia de problemas en la PC para persuadir a los incautos visitantes del sitio web para comprar la versión pagada.

Jéssica Castilla

nrl_neus dijo...

Falsificación de URL
Esta vulnerabilidad permite construir un enlace de forma que al seleccionarlo el usuario visualice una URL concreta en la barra de direcciones de Internet Explorer, cuando en realidad está visitando un sitio web diferente.
Las posibilidades de aprovechar este problema son muy diversas, entre las más críticas podemos encontrar la falsificación de sitios con servicios críticos, como la banca electrónica.
Un atacante podría copiar en su propio servidor web las páginas de un banco, incluido el formulario de usuario y contraseña para acceder al servicio de banca electrónica. A continuación podría distribuir un enlace que aproveche la vulnerabilidad, de forma que al seleccionarlo el usuario visualiza la dirección del banco en Internet Explorer y accede a sus páginas. Al tratarse de una copia, no encontrará nada irregular a primera vista, el aspecto de la página web y sus contenidos serán idénticos al original.
En realidad la dirección es falsa, y las páginas que visualiza el usuario son una copia que se encuentra en el servidor del atacante, de forma que si introduce sus datos para acceder a su cuenta estaría proporcionando su nombre de usuario y contraseña a un tercero.
Una vez el atacante dispone de los datos puede dirigirse al sitio
web auténtico del banco y suplantar la identidad de la víctima para
acceder a su cuenta.

Jéssica dijo...

La Red de Negocios de Rusia (comúnmente abreviado como RBN) es una polifacética organización de delincuencia cibernética, especializada en monopolizar el robo de identidad personal para su reventa. Es el iniciador de MPack (software) y el operador de la Tormenta botnet. El RBN se inició como un proveedor de servicios de Internet para la pornografía infantil.

RBN ha sido descrita como "la baddest de los malos". Ofrece servicios de alojamiento web y acceso a Internet a todos los tipos penales y de actividades de dudosa reputación, con actividades individuales que ganan hasta $ 150 000 000 en un año.
El negocio es difícil de rastrear. No se trata de una empresa registrada, y sus dominios se registran para las direcciones anónimas. Sus propietarios son conocidos sólo por apodos.
Hay una actividad cada vez más conocida de la RBN que es método de entrega mediante la aplicación de falsos anti-spyware y anti-malware con el fin de robar el PC y la identidad personal. La metodología consiste en atraer al usuario a utilizar una "descarga gratuita" para comprobar si el software espía o malware en su PC, muestra un mensaje de advertencia de problemas en la PC para persuadir a los incautos visitantes del sitio web para comprar la versión pagada.

Jéssica Castilla

Web Statistics