BLADE: Deshaciéndose de las descargas silenciosas
La versión en linea de Technology Review trae hoy una historia que escribí sobre un grupo de investigación financiado por el gobierno que está preparando para publicar una nueva herramienta gratuita diseñada para bloquear los ataques de "descargas silenciosas o invisibles" (drive-by downloads) en los cuales con solo visitar un sitio abusado o un sitio Web malicioso resulta en la instalación de programas no deseados, usualmente sin el conocimiento o conocimiento del visitante.
La historia profundiza en gran detalle acerca del software aún no publicado, denominado "BLADE", (abreviatura de Block All Drive-By Download Exploits). El artículo, que explora algunos de los enfoques únicos y limitaciones de esta herramienta, está disponible aquí y aquí.
Como señalo en la historia, casi todos los sitios a los que se le endilgan esos ataques drive-by han sido actualizados con los que se denominan "paquetes de explotación", o conjuntos de programas diseñados para verificar vulnerabilidades conocidas en el navegador del visitante. El mes pasado, compartí con los lectores una mirada dentro del panel de administración web del paquete de explotación Eleonore - uno de los más populares del momento.
El grupo de investigación BLADE ha estado corriendo sus máquinas virtuales de prueba por los sitios infectados con Eleonore y una variedad de otros paquetes de explotación, y sus hallazgos refuerzan el punto que estaba tratando de señalar con aquel artículo del blog: Los atacantes se interesan cada vez menos en el navegador que uno está usando; en lugar de eso, sus ataques tienden a enfocarse en los plugins desactualizados que uno podría tener instalado.
Phil Porras, el director del programa de SRI International — uno de los grupos de investigación involucrados en el proyecto - dice que hasta ahora ninguno de los sitios de explotación ha sido capaz de sobrepasar a BLADE, que actúa como una especie de sandbox para el navegador que previene que cosas dañinas sean escritas en el disco. Incluso, debido a que la herramienta permite el exploit pero bloquea la instalación de la carga maliciosa, el grupo ha sido capaz de recolectar una gran cantidad de estadísticas interesantes sobre los ataques, tales como cuales son los navegadores mas atacados, a que plugins de navegador se apunta más, y cosas así.
Los siguientes gráficos fueron tomados de la última versión del laboratorio de evaluación de BLADE, que es actualizado constantemente con resultados de nuevos sitios de explotación. Los gráficos de más abajo muestran un desglose de 5.154 descargas infecciosas drive-by que BLADE bloqueó.
Aquí están las aplicaciones vulnerables que más fueron objeto de los ataques drive-by que vio el grupo BLADE:
Podemos ver que el equipo BLADE encontró que el kit de explotación Eleonore está entre los más usados para infectar sitios:
Los investigadores también encontraron una mediocre detección de kits de explotación por parte de los principales productos antivirus (Porras dijo que la información de abajo es un promedio de las tasas de detección de cada binario maliciosos entregado por los sitios de explotación):
Me aseguraré de hacerle saber a los lectores cuando esta herramienta esté disponible públicamente para descargar.
Traducción: Raúl Batista - Segu-Info
Autor: Brian Krebs
Fuente: Krebs on Security
La historia profundiza en gran detalle acerca del software aún no publicado, denominado "BLADE", (abreviatura de Block All Drive-By Download Exploits). El artículo, que explora algunos de los enfoques únicos y limitaciones de esta herramienta, está disponible aquí y aquí.
Como señalo en la historia, casi todos los sitios a los que se le endilgan esos ataques drive-by han sido actualizados con los que se denominan "paquetes de explotación", o conjuntos de programas diseñados para verificar vulnerabilidades conocidas en el navegador del visitante. El mes pasado, compartí con los lectores una mirada dentro del panel de administración web del paquete de explotación Eleonore - uno de los más populares del momento.
El grupo de investigación BLADE ha estado corriendo sus máquinas virtuales de prueba por los sitios infectados con Eleonore y una variedad de otros paquetes de explotación, y sus hallazgos refuerzan el punto que estaba tratando de señalar con aquel artículo del blog: Los atacantes se interesan cada vez menos en el navegador que uno está usando; en lugar de eso, sus ataques tienden a enfocarse en los plugins desactualizados que uno podría tener instalado.
Phil Porras, el director del programa de SRI International — uno de los grupos de investigación involucrados en el proyecto - dice que hasta ahora ninguno de los sitios de explotación ha sido capaz de sobrepasar a BLADE, que actúa como una especie de sandbox para el navegador que previene que cosas dañinas sean escritas en el disco. Incluso, debido a que la herramienta permite el exploit pero bloquea la instalación de la carga maliciosa, el grupo ha sido capaz de recolectar una gran cantidad de estadísticas interesantes sobre los ataques, tales como cuales son los navegadores mas atacados, a que plugins de navegador se apunta más, y cosas así.
Los siguientes gráficos fueron tomados de la última versión del laboratorio de evaluación de BLADE, que es actualizado constantemente con resultados de nuevos sitios de explotación. Los gráficos de más abajo muestran un desglose de 5.154 descargas infecciosas drive-by que BLADE bloqueó.
Traducción: Raúl Batista - Segu-Info
Autor: Brian Krebs
Fuente: Krebs on Security
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5
-
Posts Relacionados:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!