miércoles, 7 de noviembre de 2012

Google & Indexación = Malware & Defacement

Hace un tiempo, mirando las fuentes de tráfico de mi blog, me di cuenta que muchos de los enlaces procedían como es lógico desde Google, curioso de mí, hice clic sobre estos para ver a donde me llevaban. En algunos casos, terminaba viendo imágenes indexadas de mi propio blog, sin embargo en otros automáticamente se redireccionaba a un tema en cuestión que anteriormente había publicado.

Con lo que me di cuenta que Google a diferencia de otros buscadores, utilizaba un enlace de redireccionamiento a todas las páginas que se encontraban indexadas en este. Si recuerdan mi anterior entrada sobre la distribución de malware mediante “redirects”, el principio de esta es sencillamente idéntica, pero utilizando nada más ni nada menos que el dominio principal de Google para este fin.

Se me ocurrió que sería una buena idea indexar ejecutables en el gigante de Google, utilizando páginas conocidas por el mismo, las toolbars o simplemente llevando a cabo un buen trabajo SEO, para dar salida a nuevos enlaces que corriesen bajo la redirección de Google.

Para ver si Google protegía a sus usuarios contra descargas de ejecutables de terceros desde su propia URL, se me ocurrió hacer búsquedas de extensiones ejecutables conocidas como “SCR” o instaladores “MSI”. La siguiente imagen no solo demuestra que Google indexa este tipo de archivos, sino que también permite leer su interior ya que este lo toma como texto.


No contento con esto, gracias a las fabulosas descargas automáticas de Google Chrome, se descarga el ejecutable en nuestro equipo al hacer clic sobre el enlace, pudiéndose tratar perfectamente de un malware disfrazado de salvapantallas.

Para ver de manera detallada el enlace, se observa como el campo de URL transporta la dirección de la página a resolver, junto al fichero y extensión en texto claro.


Para agitar más la entrada, ya que hablamos de SEO, o más bien Black Hat SEO, el cual nos ayudará a indexar estos ejecutables en Google, podemos saltar del malware al defacement. La verdad no vi nada al respecto por internet sobre el tema, pero podría ser lo más parecido a lo que un IFRAME INJECTION o quizás un HTML INJECTION, podría llegar a explotar.

Ciertas aplicaciones Flash dedicadas a la visualización de contenido multimedia, utilizan rutas relativas para hacer llamadas a videos, imágenes o archivos, en caso de videos normalmente FLV, para proceder a su visualización. En otros casos, se requieren llamadas por HTTP/S al mismo servidor o externos, que por ende son modificables desde la propia barra de direcciones, permitiendo llamar a videos de terceros.

El problema de utilizar estas aplicaciones, ocurre cuando una página conocida… me refiero a páginas gubernamentales, militares, estatales… las utilizan con el fin de publicar sus propios contenidos multimedia.

Valiéndonos de lo comentado anteriormente, podríamos utilizar diferentes métodos para indexar contenidos maliciosos o fraudulentos, con el objetivo de engañar a los usuarios que encontrasen la página mediante los buscadores. Realizando la siguiente búsqueda avanzada, encontraremos multitud de ejemplos:

inurl:"player.swf?video=http://"

Entre los afectados… la página oficial de Radio Televisión Española, hoy parece que le toca mostrar contenido erótico escondido detrás de un acortador de URL.


Los Tumbnails externos, también pueden jugar malas pasadas a páginas como Telefónica, además de la suplantación de los videos.


Y considerándome fan del Club de la Comedia, páginas militares, hoy dejaron las armas para teñirse del humor de Nacho García.

“La gente valora mucho tener estudios, pero tan importante como tener estudios es tener veranos, y… ¿la gente que tiene estudios y le falta un verano? ¿A dónde van?”


Saludos 4n4les! ;)

9 comentarios:

  1. Entiendo que con este 'método' seria posible saltarse controles parentales por ejemplo, incluso algun proxy, para ver contenido... ilícito. :D

    ResponderEliminar
    Respuestas
    1. Hola Braulio! una gran idea! recuerdo sistemas parentales como el incorporado en Panda Security, el cual traduciendo la página a otro idioma era suficiente para bypassear el control. En este caso podríamos evitar los nombres de dominios :)

      Eliminar
  2. Que buena Germán. Siempre rizando el rizo. Un +1 ;)
    TraviS

    ResponderEliminar
  3. Gracias Germán por seguir ilustrandonos el camino :P seguro que a mas de uno ya lo han infectado desde el dominio de google xDD

    ResponderEliminar
  4. simple mente...gracias..por esta entrada!!!un saludo

    ResponderEliminar
  5. Muy bueno su blog!
    Me gustaria ver sus publicaciones en Hogar del Ocio.

    Saludos

    ResponderEliminar