Sólo texto | Texto con Imágenes

Underc0de

[In]Seguridad Informática => Seguridad web y en servidores => Mensaje iniciado por: blackdrake en Julio 20, 2013, 06:52:22 PM

Título: Destripando una web y descubriendo malware! [Tutorial]
Publicado por: blackdrake en Julio 20, 2013, 06:52:22 PM
Hoy en día, hay muchas webs que están infectadas por malwares estos atacan solo a unos cuantos navegadores vulnerables, en este tutorial vamos a aprender a reconocer una web infectada.

Lo primero que necesitamos es una web, pero recordar, tenemos sospechas de que está infectada por lo que no vamos a acceder a ella, directamente bajaremos su código fuente:

NOTA: He borrado la dirección de la web infectada por motivos de seguridad.

Código [Seleccionar]
wget www.sitioweb.com

(http://oi44.tinypic.com/1zdrqcy.jpg)

(http://oi44.tinypic.com/2ij3h4h.jpg)

Una vez tenemos el código fuente de la web, vamos a probar cambiando el user-agent

Podemos obtener una lista desde aqui: http://www.useragentstring.com/pages/useragentstring.php (http://www.useragentstring.com/pages/useragentstring.php)

Elegimos un user-agent, yo escogí este:

Código [Seleccionar]
Mozilla/5.0 (Windows NT 6.2; Win64; x64;) Gecko/20100101 Firefox/20.0

Ahora volvemos a hacer lo mismo pero añadiendo este parámetro:

Código [Seleccionar]
wget www.sitioweb.com --user-agent "Mozilla/5.0 (Windows NT 6.2; Win64; x64;) Gecko/20100101 Firefox/20.0"

(http://oi39.tinypic.com/npifra.jpg)

Comparamos los diferentes archivos en busca de diferencias:

(http://oi42.tinypic.com/ephffc.jpg)
(http://oi44.tinypic.com/2rw81mg.jpg)

Observamos que el archivo con diferente user-agent tiene javascript ofuscado... vamos a desofuscar ese javascript para saber que contiene! :)

Para hacer rápido el tutorial y para que lo puedan hacer los más iniciados en este tema, recomiendo subir el javascript a esta web: http://wepawet.iseclab.org/ (http://wepawet.iseclab.org/)

(http://oi43.tinypic.com/n14in7.jpg)

(http://oi43.tinypic.com/2dgqbsg.jpg)

Como vemos, ahí está el verdadero javascript, para evitar entrar a la web, analizaremos la url...

(http://oi40.tinypic.com/mht752.jpg)

Bueno, después de este analisis, llegamos a la conclusión de que la web está infectada, podríamos analizar a fondo la dirección que nos sale del código, pero en este caso no es necesario porque tenemos la seguridad de que se trata de un malware.

Un saludo.
Título: Re:Destripando una web y descubriendo malware! [Tutorial]
Publicado por: Pr0ph3t en Julio 21, 2013, 08:42:10 AM
Muy bueno blackdrake, espero ver más aportes parecidos ;)
Título: Re:Destripando una web y descubriendo malware! [Tutorial]
Publicado por: baron.power en Agosto 01, 2013, 10:49:48 AM
Excelente tutorial, gracias compañero, saludos
Título: Re:Destripando una web y descubriendo malware! [Tutorial]
Publicado por: osc en Agosto 14, 2014, 08:28:12 AM
Buen tuto....gracias!
Título: Re:Destripando una web y descubriendo malware! [Tutorial]
Publicado por: WhiZ en Agosto 15, 2014, 09:47:15 AM
Muy bueno Black! No había visto el post.

Aportes de esta calidad hacen que el foro sea lo q es.

Muchas gracias por compartir!

Abrazo!
Título: Re:Destripando una web y descubriendo malware! [Tutorial]
Publicado por: G5 en Octubre 31, 2014, 01:25:48 AM
buen post. no conocia esta herramienta.
parece mas viable que lo que utlizo para mirar una web con malware.

gracias.
Sólo texto | Texto con Imágenes