Supongo que todos estáis acostumbrados al sistema de utilización de
nombres de archivo con extensiones. Esa forma tan curiosa de identificar
el contenido de un determinado fichero por medio de una cadena de
caracteres detrás del punto que supuestamente informa al usuario de lo
que se va a encontrar dentro.
Las extensiones y el malware
Uno de los trucos que más veces ha utilizado la industria del malware utilizado para el mundo del
e-crime y el fraude online ha sido la de usar programas ejecutables para sistemas
Microsoft Windows y sistemas
Mac OS X que utilizan dobles extensiones. Algo como
tu_documento.pdf.scr y que permite sacar provecho de la asociación por defecto de programas o comportamientos a extensiones de ficheros.
 |
| Figura 2: El archivo del medio es el archivo de la derecha per con codificación Right-to-Left |
Por supuesto, este es un tema que
Sergio de los Santos aborda en su libro "
Máxima Seguridad en Windows" como aviso para navegantes confiados en "
el sentido común" y en revisar con
cuidado las extensiones de lo que ejecutan en su sistema.
Las extensiones y los servidores Web
El uso de un las extensiones y el sentido común a la hora de descargarse
archivos es mucho peor aún cuando hablamos de ficheros servidos desde
servidores web, ya que cualquier extensión de un archivos que veas en la
URL puede ser cualquier cosa. Esto los usuario más
avezados ya lo saben, pero puede que si no estás acostumbrado a
configurar servidores web no te lo hayas planteado nunca.
Su objetivo es encontrar de forma automatizada muchas víctimas que tengan un determinado bug de
LFI,
RFI, una versión vulnerable de
WordPress o un bug común de
SQL Injection, en códigos
PHP,
ASP o
CFM.
Esto lo hemos visto en cientos de operaciones de distribución masiva de
malware, que se han llevado por delante a grandes sitios web como el de
Apple.com en la operación Lizamoon, por ejemplo.
 |
| Figura 3: Sitios de Apple.com infectados por ataque automatizado con dorks |
Para evitar salir en estos resultados, el equipo de administración del
servidor web puede cambiar las extensiones conocidas como PHP o ASP por valores genéricos como APP, APL, o PRO, o lo que sea, además de poder quitarlas con un mod_rewrite en Apache, y evitar así aparecer en los resultados de las búsquedas automatizadas con dorks.
BlackSEO, Honey Pots y distribución de malware
Por supuesto, este cambio de extensión en programas de servidores web se
hace no sólo para evitar ataques, sino para justo lo contrario, para
colarse en los resultados de búsquedas intencionadamente, como por
ejemplo en resultados de búsquedas de ficheros
.Torrent o lo que sea con el objetivo de hacer
BlackSEO o distribuir
malware.
Probando la búsqueda de un fichero
.TXT que genera el script
Fantastico y que deja el listado de los archivos que tiene un directorio web - algo similar a un
fichero .listing - saltó una alerta
antimalware en todos los navegadores.
 |
| Figura 4: Alerta al acceder a un fichero .TXT |
El fichero - llamado
fantastico_filelist.txt - deja un listado de ficheros
"fantástico", que por supuesto hemos añadido a nuestro
Servicio de Pentesting Continuo en Faast,
debido a la fuga de información que supone para un sitio web, pero al
ver esa alerta, antes de contaros algo sobre las extensiones para que
estuvierais avisados.
 |
| Figura 5: Fichero Fantastico_filelist.txt de un sitio web |
Cuando sale una alerta cómo la que os he enseñado, puede ser porque en
algún otro lugar el sitio ha hecho algo malo, y no tiene que significar
que ese fichero en concreto te ataque, pero cualquier extensión de
fichero servida desde un servidor web podría hacerlo, así que, avisado
estás. ¡Cuidado no te infecte un archivo TXT!
http://www.elladodelmal.com
De Chema Alonso
