30 abril 2013

Extensión de Chrome para análisis online de malware con UrlQuery


La gente de AlienVault Labs ha creado una extensión para el navegador Chrome que facilita la tarea de análisis online de malware en URLs mediante uno de los servicios más importantes que existen hoy en día: UrlQuery.

Este servicio es uno de los muchos que sirven, por ejemplo, como fuente de información sobre la reputación de páginas web dentro de VirusTotal (si, además de binarios, también permite el análisis de URLs):

Página principal de UrlQuery

UrlQuery como fuente de información para el análisis de URLs de VirusTotal

Volviendo a la extensión, su funcionamiento es muy simple. La extensión permite una pequeña configuración para indicar (emulando a la página original) el User Agent con el que realizar las peticiones, indicar una URL de referencia (Referrer), especificar versiones tanto de complementos de Adobe y Java que cargar como plugins y así ver como reaccionaría la página frente a este escenario:

Opciones para la extensión UrlQuery de Chrome
Hasta ahora, cada vez que quisiésemos analizar una URL para comprobar si es maliciosa o no, tendríamos que copiar y pegar dicho enlace y realizar la búsqueda dentro del servicio UrlQuery.net desde su buscador principal. Pues bien, gracias a la extensión de AlienVault Labs, con un simple clic con el botón derecho del ratón, tendremos una nueva opción en el menú contextual para realizar la petición directamente sobre UrlQuery. 

Acceso a funcionalidad dentro del menú contextual de Google Chrome

Procesamiento de la petición de análisis de una determinada URL mediante UrlQuery

Una vez finalizado el procesamiento y análisis de este enlace, nos mostrará el informe / report con los resultados correspondientes, incluyendo información sobre alertas en esa IP, otras URLs con la IP que hubiesen sido anteriormente analizadas, resumen de todos los recursos Javascript utilizados y transacciones HTML necesarias para la carga completa. Con esto se podría determinar si la página analizada hubiese sido comprometida y en ella, se hubiera incluído algún código malicioso que ejecutase determinadas acciones:

Informe con los resultados del análisis mediante UrlQuery
La gran ventaja de esta extensión es que a partir de ahora, cada vez que veamos un enlace en twitter (si consultamos nuestro timeline desde el navegador) o mails sospechosos, conviene siempre, y a golpe de un clic, realizar antes de acceder un análisis de este tipo para saber si nos enfrentamos a contenido malicioso que incluso permitiría comprometer nuestro equipo, sobretodo a raíz de la última moda de infección mediante animaciones Flash y applets Java incrustados en páginas aparentemente legítimas.

Podéis descargar esta extensión de Chrome para análisis mediante UrlQuery, desarrollada por AlienVault Labs, en la siguiente dirección: