04 octubre 2011

A todos nos ha pasado alguna vez que llega a nosotros la noticia de que han hackeado (o defaceado, o crackeado, o ...) una página web que conocemos, e inmediatamente nos ha entrado el gusanillo por visitarla para ver la pintada virtual que han dejado en la misma. Pero no es así de fácil, la mayoría de las veces la visitamos con recelo, o directamente no la visitamos por aquello de: ¿y si ...?

¿Y si de paso han incrustado un exploit? ¿Y si hay algo de Metasploit o BeEF de regalo?

Precisamente ésto es lo que busca "Owned & Exploiting" (@ownedexploiting), un bot que informa vía twitter y que se encarga de analizar las últimas webs que han sido comprometidas en busca de exploits, malware y comportamientos sospechosos. Es capaz de detectar 0days y exploits que no están documentados pero están siendo utilizados "in the wild".

Casos como el reciente hackeo de Mysql.com y su posterior modificación para servir malware podrían ser detectados rápidamente.

Por debajo, JsUnpack con algunas modificaciones es el encargado de analizar las webs y determinar su estado. En caso de detectar algún comportamiento sospechoso o malicioso, el bot publicará la web y un reporte. Además, etiqueta como #suspicious o #malicious el twitt para poder diferenciar rápidamente lo puede ser un falso positivo y lo que no.

Dentro del reporte podemos ver la información detallada. Por ejemplo:

[suspicious:5] (ipaddr:74.55.2.198) account.iclickcare.com/
status: (referer=www.google.com)saved 32302 bytes ./files/fetch_adad9ebba96aac20521a65a50ada0922c12d36c9
info: [decodingLevel=0] found JavaScript
suspicious: Warning detected //warning CVE-NO-MATCH Shellcode Engine Binary Threshold
info: [script] www.dz-attacker.co.cc/indexi/index3/js2/l10n.js?ver=20101110
info: [script] www.dz-attacker.co.cc/indexi/index3/js2/jquery.js?ver=1.4.4
info: [script] dz-attacker.co.cc/indexi/index3/js/tooltip.js
info: [img] dz-attacker.co.cc/pic/index/dz-security.png
info: [img] dz-attacker.co.cc/pic/brisco-dz-new.png
info: [img] dz-attacker.co.cc/pic/index/logo/twitter.png
info: [img] dz-attacker.co.cc/pic/index/logo/facebook.png
info: [img] dz-attacker.co.cc/pic/index/logo/skype.png
info: [script] www.dz-attacker.co.cc/indexi/index3/js/cufon-yui.js
info: [script] www.dz-attacker.co.cc/indexi/index3/js/League_Gothic_400.font.js
info: [script] www.dz-attacker.co.cc/indexi/index3/js/jquery.cycle.all.min.js
info: [script] www.dz-attacker.co.cc/indexi/index3/js/jquery.easing.1.3.js
info: [script] www.dz-attacker.co.cc/indexi/index3/js/jquery.countdown.min.js
info: [decodingLevel=1] found JavaScript

Además, un aliciente del servicio es que al informar en el mismo momento de la detección, permite que cualquiera pueda analizar por su cuenta la web antes de que sea limpiada.

Poco a poco se podrían añadir nuevas funcionalidades, cómo analizar webs a petición mediante un reply, de ésta forma los propios usuarios de twitter podrían ser una fuente de sitios comprometidos y utilizar el bot a modo de análisis.