Antivirus Gratis descargar programas antivirus gratis bajar Anti-virus
Promositios.com – Publicidad y Marketing Online
Inicio Prensa Asociados Webmasters Contacto
Antivirus Descargas Antivirus Online Empresas Antivirus Enciclopedia Especiales Firewall Seguridad Informática Spam
Antivirus Gratis | Notas Especiales Publicado el 12-01-2012
Curiosidades sobre el pharming (I).
Se ha dado en llamar "pharming" al ataque que consiste en modificar la resolución de dominios a través del archivo hosts. El sistema operativo acude primero al archivo hosts a intentar resolver un dominio.
Curiosidades sobre el pharming (I).


Más Noticias de Notas Especiales
España: Condena del Tribunal Supremo a una vecina de Barcelona por comparar a las actuaciones de los médicos con ...España: Condena del Tribunal Supremo a una vecina de Barcelona por comparar a las actuaciones de los médicos con ...
España: Tratamiento de la información personal: Conversar o Eliminar.España: Tratamiento de la información personal: Conversar o Eliminar.
Nuevos contenidos en la Red Temática CriptoRed (marzo de 2012) Nuevos contenidos en la Red Temática CriptoRed (marzo de 2012)
Comercio electrónico seguro.Comercio electrónico seguro.
Prevención ante fallos y alta disponibilidad.Prevención ante fallos y alta disponibilidad.

Luego al primer servidor DNS configurado.  Si el primer servidor DNS está caído (y sólo si está caído, no porque no encuentre el dominio en él... esto es algo que muchos confunden) acude al segundo servidor DNS a intentar resolver el dominio. ¿Qué han ideado los atacantes para aprovecharse de esta situación?

Los ataques pharming son extremadamente populares hoy en día entre los creadores de troyanos menos sofisticados. Una buena parte de la producción de malware creada en Latinoamérica hoy en día está basada en este principio del pharming. La idea es crear pequeños programas que modifiquen el archivo hosts. El usuario infectado intentará ingresar en su banco y, como el sistema le lleva hacia otra dirección IP, acabará en una especie de phishing donde el atacante capturará sus credenciales.

Imagen (Caso normal):
http://1.bp.blogspot.com/-9hHvwzZacSo/Tw3iG426SqI/AAAAAAAAAL8/TESnznZSJLM/s1600/uads-trojan_hosts-01.png

Variantes

En principio, es un ataque muy simple. La víctima ejecuta un troyano y su archivo hosts es modificado, por ejemplo, con esta entrada:

6.6.6.6 www.banco.com

Cuando el usuario acuda a banco.com, en realidad irá a 6.6.6.6 donde le espera una página copia de banco. Programar esto es extremadamente simple, pero tiene sus desventajas. Por ejemplo, ¿qué ocurre cuando la dirección IP 6.6.6.6 cae? La víctima escribirá en su navegador www.banco.com, acudirá a 6.6.6.6 y no irá a parar a ningún sitio.
Su sensación será que la página de su banca online se ha caído. Si el troyano no tiene otros recursos (solo contaba con esa dirección IP en su código), simplemente ya no será válido y quedará obsoleto.
Los programadores pronto se pusieron manos a la obra para mejorar este tipo de troyanos.

Imagen (Cambio de hosts localmente):
http://3.bp.blogspot.com/-Bf9NsRH7OfU/Tw3iUhNxovI/AAAAAAAAAME/hyDp3EGgj_I/s1600/uads-trojan_hosts-02.png


Descargar el archivo hosts

Pronto se dieron cuenta de que sería mucho más efectivo que, la asociación 6.6.6.6 con www.banco.com fuese, de alguna forma, dinámica.
Que el propio troyano controlara hacia dónde resuelve el dominio para cuando la dirección IP no estuviese disponible. Así que comenzaron a programar un sistema por el que, en vez de integrar directamente en su código la dirección IP donde se aloja la copia, el malware acude a una URL que controlan los atacantes y descarga un archivo hosts que sustituye al original. En ese archivo hosts, van actualizando la asociación IP/dominio.

Así, si cae la dirección IP, pueden colgar en la URL datos actualizados para que los nuevos infectados acudan. Es como un pequeño sistema de "nuevas versiones" del malware.

Imagen (Descarga de hosts remotamente):
http://4.bp.blogspot.com/-UCQEF0JSFEM/Tw3ierfrc8I/AAAAAAAAAMM/oJpZAgW1ebM/s1600/uads-trojan_hosts-03.png

Una captura de una URL que contiene un archivo hosts típico puede ser:
http://1.bp.blogspot.com/-tHESpppwvlk/Tw3i1-EMgXI/AAAAAAAAAMU/xI-aB9J_Lrg/s1600/pharming_1.jpg


Resolver un dominio de tercer nivel

Una nueva vuelta de tuerca al sistema de pharming. Al fin y al cabo, el atacante lo que desea es poder modificar la dirección IP de forma dinámica si cayese la copia de la página del banco. Esto se puede conseguir descargando de una URL un archivo hosts completo... o bien resolviendo un domino. Si el dominio es dinámico de tercer nivel, además se consigue inmediatez.

El funcionamiento sería el siguiente: el troyano está programado para modificar el archivo hosts con la dirección IP a la que resuelva dominio.no-ip.org (por ejemplo), de esta manera:

#Resolución(dominio3nivel) # www.banco.com

Donde #Resolución(dominio3nivel) # es una variable. El atacante, cuando el dominio resuelva ya a una dirección IP caída, solo tiene que entrar en su panel de control de no-ip.org y modificar la resolución para cambiar la variable en los sistemas infectados. El troyano comenzará a modificar los archivos hosts de sus víctimas hacia la nueva IP de forma inmediata.

Imagen (Cambio de hosots de 3er nivel):
http://1.bp.blogspot.com/-OPhklUxoIW4/Tw3i9tbfUAI/AAAAAAAAAMc/FV10LGaBnYc/s1600/uads-trojan_hosts-04.png


Instalar un servidor web en la víctima

El atacante, cansado de que se le echen abajo las direcciones IP donde alojan sus phishings, decide simplemente que el servidor sea la propia víctima. El troyano instala un pequeño servidor web y pone a escuchar en el puerto 80. Luego modifica el archivo hosts con esta entrada:

127.0.0.1 www.banco.com

Ahora, la víctima acudirá a su propio ordenador cuando quiera realizar operaciones de banca online, donde él mismo alojará una copia de la página. El formulario incluirá un "action" donde se envía la información al atacante. Esta técnica de resolución local (asociar la resolución de un dominio a 127.0.0.1) se usa también normalmente para bloquear webs de seguridad (virustotal.com, windowsupdate.com... etc).

Todas las técnicas descritas anteriormente incluyen en los troyanos reales sistemas de redundancia (varias URL por si alguna cae, varios dominios de tercer nivel consultados... etc) e incluso combinaciones de todas estas.

Imagen (Servidor local):
http://3.bp.blogspot.com/-nuqMuL5z16Y/Tw3lCIt05XI/AAAAAAAAAMs/i4DymHmKZX4/s1600/uads-trojan_hosts-05.png


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/01/curiosidades-sobre-el-pharming-i.html#comments






Fuente:
Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv
Laboratorio Hispasec
www.hispasec.com

Imagen: 
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
 
Logos/Imágenes MR Respectivas Compañías mencionadas en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar
 
 

Inicio | AntiSpam | Antivirus Online | Descargas Antivirus | Seguridad Informática | Enciclopedia | Firewall | Notas Especiales | Empresas Antivirus
Prensa | Asociados | Webmasters | Contacto