Ataques de “Watering Hole” o “Aguaderos”: Detectando usuarios infectados antes de que sea muy tarde

May 24, 2016  |  Kate Brew

Los ataques de “Watering Hole” - o el secuestro de sitios web legítimos para empujar malware - están aumentando drásticamente. Estos ataques son como descargas drive-by tradicionales, con una diferencia importante: son muy específicos en su naturaleza y la detección de estos ataques es notoriamente difícil.

En los ataques de Watering Hole, los atacantes se pueden enfocar en una sola compañía o agencia gubernamental o en comunidades más grandes de interés - como una industria o grupos empresariales.

En una entrevista sobre este tema con Víctor Obando. Sr. SE de AlienVault. Hemos discutido como los equipos de TI pueden detectar ataques de Watering Hole y los mejore métodos para mitigar el impacto en una organización afectada.

Este es Víctor:

Según Víctor, los atacantes son oportunistas y toman ventaja de errores simples que seres humanos tienden a cometer. Los ataques de Watering Hole son interesantes en el hecho de que pueden ser muy sigilosos por naturaleza y se pueden desarrollar en un periodo de tiempo largo. Implican comprometer un sitio de confianza existente o crear un sitio que parece legítimo, hasta una falta de ortografía para atrapar a algunos usuarios confiados puede ser el mecanismo utilizado en estos ataques- por ejemplo amricanexpress.com. Luego esperan a que una víctima entre al sitio, respondiendo a un correo electrónico de “phishing” o escribir mal una dirección URL válida como el ejemplo anterior.

Pregunta: ¿Cómo se crean los atacantes de Watering Hole?

Respuesta: Esta es una diapositiva que usamos para explicar el proceso:

Pregunta: ¿Me puede dar un escenario de cómo podría funcionar esto?

Respuesta: Por supuesto. Para empezar, estos ataques pueden ser muy difíciles de detectar debido al hecho de que podrían tener un aspecto parecido a una actividad legitima.

En muchos casos, estos ataques tienen víctimas en ambos lados del ataque. La primera víctima es el que posee el sitio web comprometido utilizado para el ataque de Watering Hole. La segunda víctima es el real objetivo del atacante - en este caso, cualquier persona que tenga una necesidad legítima de acceder al sitio antes mencionado.

Para ilustrar esto un poco mas, digamos que un atacante particular tiene en su mira a un fabricante de automóviles reconocido y está buscando formas de infiltrar esta organización. Entonces aquí viene Bob. Bob tiene una pequeña empresa de fabricación que produce pernos y tuercas para la industria automotriz. Se ha creado un sitio web para sus clientes donde ellos pueden obtener información sobre el estado de la producción y los detalles sobre las piezas que Bob fabrica.

Este pequeño negocio ha tomado a la atención del atacante, debido al nivel de interacción que su víctima (el fabricante de automóviles) tiene con el sitio. Además, como muchas pequeñas empresas, Bob puede que no tenga una práctica fuerte de seguridad y / o la experiencia interna para implementar controles de seguridad adecuados. Bob podría decir: "Sólo estoy haciendo tuercas y tornillos" y no a priorizado la seguridad de su ambiente. Para el atacante comprometer un sitio de este tipo puede ser una tarea sencilla y el pobre Bob ni se dará cuenta de lo que esta sucediendo.

El atacante encuentra una manera de inyectar un script de Java en el sitio web de Bob que redirigirá a sus víctimas a otro sitio que se ve muy similar a la pagina del negocio de Bob en el que podrá preparar herramientas de explotación más fiables y distribuir malware.

Una vez que el atacante lleva a cabo la creación de la página web falsificada, y a configurado el sitio de Bob para re-dirigir a los visitantes al sitio falso, todo lo que tiene que hacer es sentarse y esperar. Es sólo cuestión de tiempo para que un trabajador del fabricante de automóviles con un sistema que no estén al día con las actualizaciones de seguridad visite el sitio web de Bob para obtener información. Tan pronto como se carga el sitio, será re-dirigido al sitio malicioso, proporcionando al atacante la oportunidad de poner en peligro el sistema.

Las ramificaciones de estos ataques pueden ser catastróficas. El fabricante de automóviles “objetivo principal” podría tener que gastar millones de dólares para recuperarse de los danos de un ataque de este tipo. Si hubo ex filtración de datos, el costo podría ser incluso mayor, e incluso poner en riesgo la reputación de la empresa. Para Bob, el daño puede ser aún peor, ya que la pérdida de su principal cliente podría significar el fin de su negocio.

Pregunta: Entiendo los problemas con usuarios al hacer clic en enlaces de sitios web y la descarga de software malicioso, pero ¿cómo puede funcionar un ataque de Watering Hole, incluso si los usuarios no hacen clic en nada?

Respuesta: Cada sitio web contiene una serie de formas de indicar a las aplicaciones web cómo mostrar el contenido, ya que el visitante del sitio puede estar utilizando un PC, Mac, Tablet o teléfono, y las aplicaciones deben optimizar su contenido de acuerdo al dispositivo. Estas interacciones se requieren para que el sitio pueda mostrar la información de manera adecuada. Los atacantes abusan de esa información para averiguar cosas como el tipo de dispositivo utilizado por el usuario, el tipo de navegador y versión, la versión de aplicaciones web como Java y Flash. Con esta información, el atacante utiliza scripts para buscar vulnerabilidades existentes. De acuerdo a estos datos, los ataques adecuados se ponen en marcha y son ejecutados sin que el usuario haga clic o interactúe con el sitio. Estos son conocidos como ataques “drive-by download”.

Pregunta: He escuchado de personas que re-instalan sistemas completamente, pensando que esto resolverá el problemas, sólo para descubrir que los problemas regresan. ¿Cómo es esto posible?

Respuesta: Muchas veces no tomamos el tiempo para entender la causa principal del problema. Incluso después de volver a re-instalar un sistema, los usuarios pueden volver de inmediato a sitios maliciosos. Contenido dentro de favoritos puede llevarlos de vuelta a un sitio comprometido. Si las aplicaciones como Flash y Java no se actualizan con frecuencia, aun la re-instalación del sistema completo será en vano.

Pregunta: ¿Cómo ayuda un IDS de red con cosas como esta?

Respuesta: Si bien los análisis de vulnerabilidades pueden ser muy buenos para encontrar defectos en los servidores web y aplicaciones web; cuando se piensa en el lado del usuario final, aplicaciones como Flash y Java se convierten en un problema más difícil de controla. Los análisis de vulnerabilidades se hacen típicamente de manera periódica para limitar el impacto en el rendimiento, como por ejemplo una vez al mes. La detección de la vulnerabilidad pasiva utilizando un IDS de red es ideal para encontrar vulnerabilidades sin necesidad de un escaneo programado. Esta es una diapositiva que usamos para hablar acerca de la detección de red pasiva y su eficacia con ataques de esta naturaleza:

Share this with others

Get price Free trial