lunes, 25 de febrero de 2013
18:42:00
Un ataque Watering Hole es una estrategia que utilizan los atacantes que consiste en:
Un delincuente modifica un sitio web y agrega scripts dañinos en él
La víctima visita el sitio web comprometido.
Este sitio web, a través del elemento inyectado con JavaScript, redirige a la víctima a un sitio de explotación. Mientras tanto, el sitio comprometido se utiliza como “trampolín” para llevar a cabo ataques de espionaje, quedando a la espera de usuarios que lo visiten, los cuales se infectarán.
Este malware comprueba las aplicaciones instaladas en el sistema afectado (Java, Adobe Reader, Flash, etc.) y luego explota vulnerabilidades en dichas aplicaciones, las cuales le permiten descargar malware específico para cada sistema operativo e infectar al usuario.
Los troyanos instalados permiten el acceso al equipo infectado e históricamente han sido utilizados por los atacantes para realizar ataques tipo APT (amenazas persistentes y avanzadas), realizar espionaje y recoger información dentro de redes de interés. Un ejemplo de este tipo de ataque es Ghost RAT que se documentó muy bien en el paper de Infowar, "
Tracking GhostNet".
En un informe publicado por los expertos de RSA se especifican las URL completas de los sitios atacados. Sin embargo, a través de Google y su capacidad de acceder al contenido en caché, podemos ver los nombres de los sitios que fueron comprometidos en esa oportunidad.
Ejemplos de objetivos son: diversos sectores industriales, gobiernos, servicios financieros, servicios públicos, distintas zonas geográficas, entre otros.
Symantec ha publicado una investigación en torno a este tipo de ataques denominado:
The Elderwood Project con información de objetivos, tendencias de crecimiento y las plataformas de ataque desde el año 2009.
Alguno de los exploits más utilizados para realizar este ataque son:
Algunos de los primeros detalles de esta tendencia comenzó con un estudio a finales de julio de 2012 por la firma RSA y, a comienzos de este año, Symantec informó sobre un nuevo exploit 0-day Internet Explorer. En ese caso se trataba de una técnica conocida como un
ataque Drive-by-Cache donde primero se descarga el malware y la Shellcode se utiliza para ejecutar la carga maliciosa en lugar de descargarla como en el caso de un
Drive-by-Download.
Microsoft ha publicado en Technet un post dedicado a esta vulnerabilidad explicando, entre otras cosas, las maneras de bloquear la ejecución del código.
El uso de exploits 0-day para realizar ataques dirigidos no es un fenómeno nuevo. Muchos incidentes de alto perfil como
Hydraq/Aurora,
Stuxnet y
Duqu utilizan este tipo de ataques para lograr su objetivo, y el uso es cada vez mayor. En este caso particular, el uso de un exploit de este tipo indica un alto nivel de sofisticación que requiere el acceso a recursos y habilidades que normalmente estarían fuera de las capacidades de la mayoría de los hackers.
Fuentes
Mauro D. Gioino de la Redacción de
Segu-Info
Artículo original en
Segu-Info