Watering Hole Attack, cómo funciona
Un ataque Watering Hole es una estrategia que utilizan los atacantes que consiste en:
Los troyanos instalados permiten el acceso al equipo infectado e históricamente han sido utilizados por los atacantes para realizar ataques tipo APT (amenazas persistentes y avanzadas), realizar espionaje y recoger información dentro de redes de interés. Un ejemplo de este tipo de ataque es Ghost RAT que se documentó muy bien en el paper de Infowar, "Tracking GhostNet".
En un informe publicado por los expertos de RSA se especifican las URL completas de los sitios atacados. Sin embargo, a través de Google y su capacidad de acceder al contenido en caché, podemos ver los nombres de los sitios que fueron comprometidos en esa oportunidad.
Ejemplos de objetivos son: diversos sectores industriales, gobiernos, servicios financieros, servicios públicos, distintas zonas geográficas, entre otros.
Symantec ha publicado una investigación en torno a este tipo de ataques denominado: The Elderwood Project con información de objetivos, tendencias de crecimiento y las plataformas de ataque desde el año 2009.
Alguno de los exploits más utilizados para realizar este ataque son:
Algunos de los primeros detalles de esta tendencia comenzó con un estudio a finales de julio de 2012 por la firma RSA y, a comienzos de este año, Symantec informó sobre un nuevo exploit 0-day Internet Explorer. En ese caso se trataba de una técnica conocida como un ataque Drive-by-Cache donde primero se descarga el malware y la Shellcode se utiliza para ejecutar la carga maliciosa en lugar de descargarla como en el caso de un Drive-by-Download. Microsoft ha publicado en Technet un post dedicado a esta vulnerabilidad explicando, entre otras cosas, las maneras de bloquear la ejecución del código.
El uso de exploits 0-day para realizar ataques dirigidos no es un fenómeno nuevo. Muchos incidentes de alto perfil como Hydraq/Aurora, Stuxnet y Duqu utilizan este tipo de ataques para lograr su objetivo, y el uso es cada vez mayor. En este caso particular, el uso de un exploit de este tipo indica un alto nivel de sofisticación que requiere el acceso a recursos y habilidades que normalmente estarían fuera de las capacidades de la mayoría de los hackers.
Fuentes
Mauro D. Gioino de la Redacción de Segu-Info
- Un delincuente modifica un sitio web y agrega scripts dañinos en él
- La víctima visita el sitio web comprometido.
- Este sitio web, a través del elemento inyectado con JavaScript, redirige a la víctima a un sitio de explotación. Mientras tanto, el sitio comprometido se utiliza como “trampolín” para llevar a cabo ataques de espionaje, quedando a la espera de usuarios que lo visiten, los cuales se infectarán.
- Este malware comprueba las aplicaciones instaladas en el sistema afectado (Java, Adobe Reader, Flash, etc.) y luego explota vulnerabilidades en dichas aplicaciones, las cuales le permiten descargar malware específico para cada sistema operativo e infectar al usuario.
Los troyanos instalados permiten el acceso al equipo infectado e históricamente han sido utilizados por los atacantes para realizar ataques tipo APT (amenazas persistentes y avanzadas), realizar espionaje y recoger información dentro de redes de interés. Un ejemplo de este tipo de ataque es Ghost RAT que se documentó muy bien en el paper de Infowar, "Tracking GhostNet".
En un informe publicado por los expertos de RSA se especifican las URL completas de los sitios atacados. Sin embargo, a través de Google y su capacidad de acceder al contenido en caché, podemos ver los nombres de los sitios que fueron comprometidos en esa oportunidad.
Ejemplos de objetivos son: diversos sectores industriales, gobiernos, servicios financieros, servicios públicos, distintas zonas geográficas, entre otros.Symantec ha publicado una investigación en torno a este tipo de ataques denominado: The Elderwood Project con información de objetivos, tendencias de crecimiento y las plataformas de ataque desde el año 2009.
Alguno de los exploits más utilizados para realizar este ataque son:
- Adobe Flash Player Object Type Confusion Remote Code Execution Vulnerability (CVE-2012-0779)
- Microsoft Internet Explorer Same ID Property Remote Code Execution Vulnerability (CVE-2012-1875)
- Microsoft XML Core Services Remote Code Execution Vulnerability (CVE-2012-1889)
- Adobe Flash Player Remote Code Execution Vulnerability (CVE-2012-1535)
Algunos de los primeros detalles de esta tendencia comenzó con un estudio a finales de julio de 2012 por la firma RSA y, a comienzos de este año, Symantec informó sobre un nuevo exploit 0-day Internet Explorer. En ese caso se trataba de una técnica conocida como un ataque Drive-by-Cache donde primero se descarga el malware y la Shellcode se utiliza para ejecutar la carga maliciosa en lugar de descargarla como en el caso de un Drive-by-Download. Microsoft ha publicado en Technet un post dedicado a esta vulnerabilidad explicando, entre otras cosas, las maneras de bloquear la ejecución del código. El uso de exploits 0-day para realizar ataques dirigidos no es un fenómeno nuevo. Muchos incidentes de alto perfil como Hydraq/Aurora, Stuxnet y Duqu utilizan este tipo de ataques para lograr su objetivo, y el uso es cada vez mayor. En este caso particular, el uso de un exploit de este tipo indica un alto nivel de sofisticación que requiere el acceso a recursos y habilidades que normalmente estarían fuera de las capacidades de la mayoría de los hackers.
Fuentes
Mauro D. Gioino de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!