Registrar   Login 
 
 Redes    março 19, 2010
Início
Atualidades
Bola Quadrada
C#
Culinária
Design
Office
PDA & Cia
Redes
Segurança da Informação
Ser Mãe
Só Rindo
Fale conosco
Artigos publicados Minimizar
Artigos atuais | Arquivos | Busca
07

O QUE É PIOR QUE O CONFICKER? GUMBLAR!

Leo Costa publicou em 07 de agosto de 2009 às 22:59 Article Rating

Retirado do site Under Linux (http://under-linux.org)

Gumblar: pior que o Conficker!

Um novo ataque apelidado de Gumblar surgiu na internet em março, mas só agora começou a ser visto pelos especialistas como uma ameaça ainda mais perigosa que o Conficker, que segundo estimativas, fez mais de dez milhões de vítimas ao redor do mundo.
Segundo o site ZDNet , o ataque se aproveita da baixa segurança em websites legítimos para instalar código malicioso que, uma vez rodados em um computador vulnerável, é capaz de baixar novos malwares para a máquina e roubar senhas de acesso FTP a outros sites.

Os scripts maliciosos são dispostos em sites vulneráveis e tentam explorar falhas na ferramenta Adobe Reader e Flash Player. Quando uma busca é feita no mecanismo Google a partir de uma máquina infectada, diversos resultados falsos são apresentados, levando a vítima a outros sites de malware.

O receio é semelhante ao que elevou o Conficker ao status de uma das maiores ameaças de todos os tempos na web: que as máquinas comprometidas pelo malware venham a fazer parte de uma gigantesca botnet, rede de computadores controlados remotamente por cibercriminosos para fins ilegais, como envio de spam e derrubada de servidores.

A firma ScanSafe afirmou que 37% de todo malware que bloqueou com seu software de segurança durante as duas primeiras semanas de maio foram de responsabilidade do Gumblar, e levavam à interceptação de tráfego da web e instalação de trojans para roubos de nomes de usuários e senha.

O Gumblar também pode evitar que seus sites distribuidores de malware entrem para a lista de bloqueados no Google Chrome, explicou o site Digital Trends, que acrescentou que a Sophos, outra firma de segurança, teria noticiado que 42% de todos os códigos maliciosos encontrados em websites atualmente estão ligados ao ataque.
 
Essa é uma forma perversa de ataque, na qual os usuários são especialmente vulneráveis, uma vez que está ocorrendo em websites de qualquer tipo, em todas as partes do mundo: sites corporativos, agencias governamentais, noticiosos, portais Internet, fóruns… e até blogs! — e, por isso, não há como saber onde reside o perigo. Pode estar em qualquer página, de qualquer site… Administradores de redes, especialistas de segurança e Webmasters estão fazendo um bocado de hora extra, ultimamente…

Existe uma forma de ataque que consiste em explorar vulnerabilidades em servidores web legítimos e insuspeitos, e, uma vez tendo ganho acesso a eles, injetar códigos maliciosos que, secretamente, redirecionam o internauta a websites (essa técnica é chamada de “cross-site scripting”) onde os computadores deles serão exploitados. A estratégia de se injetar, maciçamente, códigos em websites legítimos não é nova; o que está surpreendendo é a intensidade desse tipo de abordagem, nas últimas semanas! Essa técnica recebe o nome de “comprometimento massivo”, e pelo que tudo indica, os atacantes resolveram usá-la pra valer! Porém, tem se descoberto, ultimamente, que esses códigos maliciosos podem estar vindo, não apenas de ataques diretos feitos por intrusos aos servidores web, mas também, de computadores infectados de webmasters que fazem uploads de atualizações para os servidores onde seus sites estão hospedados.

Então, o que, exatamente, está acontecendo?

Códigos “ofuscantes” são injetados em arquivos de páginas web (seja diretamente pelo atacante, seja por meio de uma infecção residente no computador de um desavisado webmaster), o que faz com que grande parte dos antivírus dos internautas não consigam detectar a ameaça. Esses códigos “ofuscantes” se iniciam com uma longa string de códigos que são executados pelo navegador web. Essa string longa pode possuir, ainda, várias camadas de mais códigos “ofuscantes”, que vão se sucedendo, numa aparente confusão sem sentido. Repare: aparente confusão. No entanto, o que esses códigos “ofuscantes” ocultam, são scripts que começam com uma chamada de função, sem nome – assim:  “ (function( ”...

Código "ofuscante" do Gumblar.
..

Essa função é anônima e se auto-invoca, e alguns caracteres são substituídos por códigos “ofuscantes”, mas, no final, trocados pelos caracteres originais. Um exemplo de código “ofuscante” seria assim: o caractere “ % ” é substituído por “ 20a.3d.22Sc.72iptEngin… ” (veja a figura acima), e demais códigos “confusos” — mas, no final, possui uma instrução “ .replace( ”, a qual aceita parâmetros; e, finalmente, bem no finalzinho do código, encontra-se uma expressão “ ~/g ” ou “ /”g/ ” que, então, decifra o caractere intencional “ % ”. Esse script tem sido chamado de gumblar, associado a gumblar .cn, e, embora tenha variações (cada website infectado corresponde a uma variação, pois cada site falso de redirecionamento tem suas particularidades, com suas respectivas exploitations), sua nomenclatura permanece.

Porção de código "ofuscante" do Gumblar.

Quando o script gumblar .cn é executado (a cada vez que alguém visita o site infectado) outro script gumblar .cn/rss/ é silenciosamente carregado e executado. Esse código é injetado usualmente antes da tag (body). O internauta é redirecionado para uma suposta página do “Google Analytics” — mas que, na verdade, é “google-analytilcs”, com a letra “l” entre o “ti” e o “cs”: “google-analytilcs”. Outros sites falsos são o “goooogleadsense.biz” (com 4 letras “o”), o “fqwerz.cn”. Esses sites já são relacionados em listas negras através da web por usar o exploit iframe, evidenciando a adoção dessa técnica pelo Gumblar. Outras características do Gumblar, são:

  1. O código vem sendo injetado em todas as páginas do website, e não só na página principal;
  2. Ele é injetado em arquivos JavaScript (“.js”) — geralmente no final do arquivo;
  3. Em 95% dos casos foi encontrado em sites que utilizam a linguagem PHP;
  4. Não utiliza um script de vulnerabilidade em particular. Já foi encontrado em phpBB, SMS, fóruns vBulletin, WordPress 2.7.1, e sites proprietários em PHP;
  5. Ele não se propaga. Mesmo que haja dois, três, quatro, ou mais sites hospedados no mesmo servidor, se só um estiver infectado, só aquele site ficará infectado! Os outros não serão atingidos.
  6. Ele pode (pasmem!) alterar resultados de busca do Google e redirecionar o internauta para os sites de malware.
  7. Ele também instala um backdoor que se conecta ao endereço IP 78. 109. 29. 112 (bloqueie esse IP em seu firewall!).
  8. O mais assustador: ao contrário de outros exploits que diminuem a incidência depois da primeira semana, a incidência do Gumblar está crescendo!…

O Google já mapeou 10 websites especializados em propagar malwares, como os citados acima, mas esse número é muito pequeno, frente ao número real de sites de malware que devem existir — e que, quase certamente, é um número ainda maior do que já se sabe.

Como você deve agir?

SE VOCÊ POSSUI UM WEBSITE, E ELE ESTÁ INFECTADO:

  • Em grande parte das vezes o exploit é comprometido por credenciais FTP. Comece analisando profundamente o computador que você usa para fazer uploads para o seu site. Faça varreduras detalhadas, inclusive em arquivos ocultos e de sistema, com antivírus, e demais anti-malwares. O aplicativo Malwarebytes tem dado ótimos resultados. Use-o, juntamente com outras soluções que você já conheça e confie.
  • Isso não quer dizer que você infectou o seu site — mas existe a possibilidade de isso ter ocorrido, se o seu computador estava comprometido.
  • Tendo certeza de que seu computador está limpo, troque as senhas do acesso FTP ao seu provedor de hospedagem. Troque, também, todas as senhas do seu computador.
  • Substitua os arquivos infectados do seu website pelos seus arquivos limpos, de backup. Não fique tentando descobrir os códigos maliciosos. É mais fácil e rápido substituir os arquivos comprometidos pelos limpos.
  • Só depois de tudo resolvido, converse com o seu provedor de hospedagem sobre a possibilidade de usar conexões SFTP (transferência de arquivos por SSH), ao invés do FTP tradicional.
  • Caso o Google tenha colocado o seu website na lista negra, e tendo certeza de que todo o problema já foi resolvido, solicite uma nova avaliação, pelo Webmaster Tools.

Regularmente verifique o seu website com ferramentas de diagnóstico, de modo a se certificar de que o site não foi infectado novamente.

SE VOCÊ É APENAS UM INTERNAUTA:

  • Mantenha o seu computador riogorosamente atualizado, com todos os patches, hotfixes e service packs a que tem direito.
  • Tenha um bom antivírus, mas também tenha outras ferramentas de segurança: anti-spyware, firewall pessoal, e outros.
  • Quando visitar um website DESCONFIE quando for redirecionado para outro site.
  • Não confie em janelas po-up que “afirmam” que o seu computador está “infectado” e que, por isso, lhe oferecem o download gratuito de um antivírus.
  • Não confie em mensagens inesperadas ou estranhas, janelas pop-up, e eventos de navegação que não pareçam normais.
  • De tempos em tempos faça uma varredura completa em seu computador, para ter certeza de que ele está limpo!


Abraço, Leo Costa.

Ações: Comentários (0) | Kick it! | DZone it! | del.icio.us | Permalink

Classificação

Comentários

Nenhum comentário até o momento. Seja o primeiro a deixar um.

Comente este artigo

Apenas usuários cadastrados podem postar comentários.
Imprimir  
 
 Copyright 2003-2010 - Ronaldo Cesar   Termos de Uso  Privacidade