Servicios y herramientas de análisis de URLs maliciosas

By
In Sin categoría
En el cuarto trimestre de 2009 aproximádamente 5.5 millones de páginas web contenían software diseñado para realizar instalaciones sin necesidad de la intervención del usuario (fuente). Este tipo de ataques, a.k.a drive-by downloads, hace tiempo eran comunes en sitios de dudoso contenido, pero en la actualidad, la tendencia es encontrarlos en todo tipo de sitios web legítimos, ya sea directamente o bien, a través de terceros como banners publicitarios.
Existen servicios WebMalware avanzados, orientados a empresa e instituciones, con el objetivo de detectarlos y poner solución a estas amenazas antes de que realicen una infección másiva a los visitantes de estos sitios web. Qualys recientemente ha publicado una BETA pública con limitaciones para su uso.

Por otra parte, existen herramientas gratuitas con el mismo objetivo pero destinadas al usuario final, ya que únicamente permiten realizar el análisis de una url, sin posibilidad de crawling, ni otras características. Algunos de estos servicios van desde la simple comprobación de la URL en listas negras, hasta el uso de honeypots de alta interacción para el análisis de comportamiento. Ante la heterogeneidad de este tipo de ataques, decidimos probar algunos de estos servicios gratuitos en busca de comportamientos ante diferentes tipos de URLs.

Los servicios gratuitos de análisis de URLs probados fueron:

El tipo de URLs que se probaron:

  • URLs maliciosas activas
  • URLs maliciosas activas en el pasado pero que ya no existen (inactivas)
  • URLs maliciosas escondidas a través de servicios acortadores de URLs
  • URLs benignas con javascript sospechoso antes de una redirección
  • URLs benignas con javascript sospechoso después de una redirección
  • URLs inexistentes
  • URLs benignas

(Código malicioso drive-by download)

Para simplificar el análisis, mostramos cada servicio con el comportamiento ante cada tipo de URL. Mostramos únicamente un resumen representativo del resultado de dicho análisis:

WEB OF TRUST

  1. URLs maliciosas activas: Contenido malintencionado, virús.
  2. URLs maliciosas activas en el pasado pero que ya no existen: Contenido malintencionado, virús, infracción en navegador, spyware.
  3. URLs malignas escondidas a través de servicios acortadores de URLs: Sitio de confianza
  4. URLs benignas con javascript sospechoso antes de una redirección: No muestra nada
  5. URLs benignas con javascript sospechoso después de una redirección: No muestra nada
  6. URLs inexistentes: No muestra nada
  7. URLs benignas: Sitio de confianza

UNMASK PARASITES

  1. URLs maliciosas activas: URL sospechosa.
  2. URLs maliciosas activas en el pasado pero que ya no existen: Error.
  3. URLs malignas escondidas a través de servicios acortadores de URLs: URL sospechosa
  4. URLs benignas con javascript sospechoso antes de una redirección: URL sospechosa
  5. URLs benignas con javascript sospechoso después de una redirección: URL limpia
  6. URLs inexistentes: Error
  7. URLs benignas: URL limpia

TREND MICRO WEB REPUTATION

  1. URLs maliciosas activas: URL maliciosa.
  2. URLs maliciosas activas en el pasado pero que ya no existen: URL maliciosa.
  3. URLs malignas escondidas a través de servicios acortadores de URLs: No maliciosa
  4. URLs benignas con javascript sospechoso antes de una redirección: No maliciosa
  5. URLs benignas con javascript sospechoso después de una redirección: No maliciosa
  6. URLs inexistentes: No maliciosa
  7. URLs benignas: No maliciosa

NORTON SAFE WEB

  1. URLs maliciosas activas: 7 amenazas encontradas. Clasificación del tipo de amenazas.
  2. URLs maliciosas activas en el pasado pero que ya no existen: Sitio seguro
  3. URLs malignas escondidas a través de servicios acortadores de URLs: Sitio seguro
  4. URLs benignas con javascript sospechoso antes de una redirección: No comprobado
  5. URLs benignas con javascript sospechoso después de una redirección: No comprobado
  6. URLs inexistentes: No comprobado
  7. URLs benignas: Sitio seguro.

FINJAN URL ANALISIS

  1. URLs maliciosas activas: URL bloqueada, virus detectado. Informa de la familia del malware.
  2. URLs maliciosas activas en el pasado pero que ya no existen: URL bloqueada. Informa de la familia del malware
  3. URLs malignas escondidas a través de servicios acortadores de URLs: URL bloqueada. Informa de la familia del malware
  4. URLs benignas con javascript sospechoso antes de una redirección: URL bloqueada. Informa de la famila del malware.
  5. URLs benignas con javascript sospechoso después de una redirección: URL legítima
  6. URLs inexistentes: URL no disponible.
  7. URLs benignas: URL legítima.

F-SECURE BROWSING PROTECTION

  1. URLs maliciosas activas: Este sitio es dañino.
  2. URLs maliciosas activas en el pasado pero que ya no existen: Sitio desconocido
  3. URLs malignas escondidas a través de servicios acortadores de URLs: Este sitio es seguro
  4. URLs benignas con javascript sospechoso antes de una redirección: Sitio desconocido
  5. URLs benignas con javascript sospechoso después de una redirección: Sitio desconocido
  6. URLs inexistentes: Sitio desconocido
  7. URLs benignas: Este sitio es seguro

AVG LINK SCANNER DROP ZONE

  1. URLs maliciosas activas: Reportada como dangerous. Detalla familia.
  2. URLs maliciosas activas en el pasado pero que ya no existen: No se pudo escanear por algún problema
  3. URLs malignas escondidas a través de servicios acortadores de URLs: No se pudo escanear por algún problema
  4. URLs benignas con javascript sospechoso antes de una redirección: Reportada como dangerous.
  5. URLs benignas con javascript sospechoso después de una redirección: No se pudo escanear por algún problema
  6. URLs inexistentes: No se pudo escanear por algún problema
  7. URLs benignas: No se encontró ningún exploit

WEPAWET

  1. URLs maliciosas activas: Maliciosas. Análisis en profundidad.
  2. URLs maliciosas activas en el pasado pero que ya no existen: Error de red accediendo a la URL.
  3. URLs malignas escondidas a través de servicios acortadores de URLs: Benigna, aunque realiza análisis de redirección.
  4. URLs benignas con javascript sospechoso antes de una redirección: Sospechosa
  5. URLs benignas con javascript sospechoso después de una redirección: Sospechosa
  6. URLs inexistentes: nombre de host no válido.
  7. URLs benignas: La url es segura.

CONCLUSIONES

Unmask parasites y wepawet fueron los servicios que más se acercaron a los resultados esperados. El tipo de URLs analizadas es sólo una mínima parte de la casuística que se puede presentar en este tipo de ataques. Los cibercriminales cada vez más, intentan camuflar su malware en Internet para mantener el control -cuanto más tiempo mejor- de los servidores que han modificado. Además, los BlackHat seo poseen una gran infraestructura para poder aprovecharse de cualquier acontecimiento de interés mundial. La suma de todo ello y las posibilidades de ocultarse ante herramientas como las analizadas en este artículo, muestran que actualmente la mejor protección pasa por una mezcla de herramientas de análisis automático, manual, sentido común como siempre, y algo de suerte.

Uno de los grandes problemas de este tipo de ataques es que suelen ser descubiertos tarde, cuando los visitantes de los sitios web comprometidos ya han sido infectados. Grandes pérdidas económicas y de reputación online pueden ser algunas de las consecuencias. En este sentido, no tiene el mismo impacto un sitio web pequeño muy segmentado, como el que pudiera tener un sitio web de interés público como servicios de administración electrónica o periódicos digitales por citar algunos. S21sec, dispone del servicio webmalware como medida proactiva en la lucha contra el fraude online y amenazas web y como parte de un servicio de protección integral.

Emilio Casbas
S21sec e-crime

Recommended Posts
Showing 9 comments
  • Jorge
    Responder

    Tenéis un pequeño error en uno de los enlaces ya que se has debido de pasar y habéis puesto el mismo dos veces y por tanto el verdadero falta xD

    Me refiero a AVG linkscanner drop zone

    Como apunte me gustaría recomendaros

    https://www.novirusthanks.org/services/scan-websites-for-iframes/

    Un saludo y gracias por el post.

  • S21sec labs
    Responder

    @Jorge, dos veces gracias; por avisarnos de la errata, ya está corregida. Y por el apunte.

    Un saludo

  • Jorge
    Responder

    Nada hombre 😉 que las gracias las tenemos que dar nosotros que vosotros sois los que os curráis los posts.

    Sin querer ser pesado se me olvidó comentar (https://scanner.novirusthanks.org/) que aunque no sea lo mismo siempre viene bien.

    Aún así también están bien:

    -https://onlinelinkscan.com/ (Es una especie de "Virustotal" ya que integra otros "motores" de detección o en este caso otras webs)

    -https://vms.drweb.com/online/ (Pestaña "Scan a link (URL)")

    -https://vurl.mysteryfcm.co.uk

    Nuevamene saludos cordiales

  • https://sucuri.net
    Responder

    You forgot https://sucuri.net 🙂

  • Anónimo
    Responder

    Otra técnica alternativa para esconder URLs al usuario y propagar phishing, virus, etc.

    https://www.sysadmit.com/2014/11/phishing-con-data-uri-scheme.html

    Así que ojo con este tipo de enlaces, donde no vemos el dominio destino.

  • Carmen
    Responder

    Hay que andarse con mucho ojo en internet en cuanto te descuidas te la clavan. Yo siempre navego con antivirus pero aún así si veo algo raro meto la url en un analizador de urls como https://ricco.es/comprobar-url-maliciosa.html u otro y al menos navego más segura

  • Responder

    Agradeço este post. Vai experimentá-lo.

  • Escort Girls In UK
    Responder

    This design is incredible! You most certainly know
    how to keep a reader entertained. Between your wit and your videos, I was almost moved to start my own blog (well,
    almost…HaHa!) Great job. I really enjoyed what you had
    to say, and more than that, how you presented it.
    Too cool!

  • Responder

    Good way of explaining, and good post to obtain information on the topic of
    my presentation subject, which i am going to present in college.

Leave a Comment