Investigación activa - Análisis de páginas web maliciosas

Estudios de caso

Los correos electrónicos de phishing suelen ser solo el primer paso en un ataque. La mayoría intenta que la persona objetivo visite una página web con el propósito específico de atacar. Este módulo de habilidades le enseñará a observar los sitios web controlados por atacantes para comprender sus acciones y descubrir potencialmente más infraestructura controlada por ellos o vectores empleados en los ataques. Tenga en cuenta que los sitios web pueden ser extremadamente complicados, con comportamientos que van desde simples páginas de suplantación de credenciales hasta ataques complejos contra el navegador web o el propio dispositivo de navegación.

Tenga en cuenta que interactuar con sitios web maliciosos puede poner en riesgo al propio analista. Asegúrese de configurar y utilizar un entorno aislado (consulte el subtema 3), y de recopilar y almacenar de forma segura todas las páginas web. Por último, esta habilidad se cruza y conduce a la ruta de aprendizaje del Análisis de Malware.

Objetivos

Después de completar esta subtarea, el profesional debe ser capaz de hacer lo siguiente:

• Analizar sitios web propiedad de atacantes examinando su código fuente mediante las funciones de inspección de los navegadores web y, opcionalmente, utilizando herramientas como proxies de interceptación o depuradores de JavaScript.
• Averigüe a qué otras infraestructuras podrían conectarse estos sitios web buscando URL, redireccionamientos, dominios enlazados, etc

Sección Principal

Conocimiento Fundamental

Esta subtarea será significativamente más fácil de practicar si conoce los conceptos básicos de JavaScript y HTML, aunque esos no son requisitos previos estrictamente necesarios.

Vale la pena destacar algunas diferencias básicas entre un correo electrónico y una página web:

• Las páginas web pueden ser dinámicas, por lo que el servidor puede generar una página web diferente en función de variables como la dirección IP del solicitante, el tipo de navegador, la hora del día y muchas otras.
• Los navegadores web procesarán más tipos de HTML que los lectores de correo electrónico, con menos protecciones. Lo más importante es que los navegadores web ejecutarán JavaScript, lo cual los clientes de correo electrónico no harán.
• Los correos electrónicos HTML se generan cuando se envía el correo; la acción es iniciada por el atacante. Con las páginas web, la acción es iniciada por el visitante. Cuando vea una página web maliciosa, el atacante siempre puede estar al tanto de sus acciones. Si bien mecanismos como las VPN o Tor podrían evitar que el administrador de la página web vea su dirección IP, el sitio en sí podría contener referencias vinculadas al correo electrónico de phishing o ser personalizado para cada destinatario. De esa manera, el atacante sabrá con un alto grado de certeza que solo aquellos que tuvieron acceso al correo electrónico de phishing visitarían la página web.

Por ello, recomendamos analizar las páginas web únicamente en un entorno seguro diseñado específicamente para abrir archivos potencialmente sospechosos, como una máquina virtual o un sandbox. Además, discuta el modelo de amenaza específico para el destinatario del correo con el fin de garantizar que es seguro para ellos que usted lleve a cabo una actividad de análisis adicional que podría ser visible para el atacante.

Estudio de casos

Lea dos estudios de caso que analizan los ataques de phishing dirigidos a grupos de la sociedad civil. Ambos ataques tuvieron un éxito parcial:

• Human Rights Watch: Iran: Jaqueo, respaldado por el estado, de activistas, periodistas, políticos (La sección introductoria es un contexto útil sobre las tácticas y motivaciones de los atacantes; sin embargo, concéntrese en la sección Análisis Técnico de la Campaña de Phishing con fines de aprendizaje.)
• Bellingcat: Guccifer Rising? Campaña de Phishing de un Mes de Duración en ProtonMail Dirigida a Docenas de Periodistas y ONG Centradas en Rusia

Centrándonos en el estudio de caso de HRW anterior, observe algunas características clave del análisis utilizado en cada investigación. Algunos de estos requieren habilidades técnicas para completarse, mientras que otros requieren investigación, pensamiento crítico y habilidades interpersonales. Algunos de los métodos identificados en el estudio de caso incluyen:

• Los atacantes utilizaron un servicio de reducción de URL, lo que ya es habitual y usted debe ser capaz de reconocerlos y estar consciente de las formas de expandir estas URL cuando sea posible (por ejemplo, utilizando el mecanismo incorporado del reductor, como añadir un + al final de la URL, o utilizando una herramienta de expansión como Urlex) o rastrear las etapas de las redirecciones HTTP. Sin embargo, el atacante creó su propio servicio de reducción de URL que suplantó (mediante un pequeño cambio de escritura en el dominio) a otro reductor de URL conocido.
• Se registraron varios dominios destinados a confundir al objetivo (por ejemplo, sharefilesonline[.]live, que juega con los nombres de los productos SharePoint y Live.com de Microsoft).
• Enlaces únicos enviados a objetivos individuales con un identificador de cinco caracteres (esto podría conseguirse mediante cualquier cadena única en una URL, normalmente dentro del trayecto de la URL o pasada en un parámetro por ejemplo después de un ʻ?ʼ).
• Ponerse en contacto con otros posibles objetivos de la misma campaña para compartir información sobre amenazas y comprender mejor las técnicas del adversario. Se hicieron pasar por proveedores de correo electrónico populares y utilizaron un kit de phishing que permite técnicas de elusión de la MFA.
• Ponerse en contacto con otros posibles objetivos de la misma campaña para compartir información sobre amenazas y comprender mejor las técnicas del adversario.
• Tácticas de los atacantes, como acceder a los datos y usar Google Takeout (una herramienta que permite a los usuarios descargar todos los datos de su cuenta de Google).
• Los autores del informe examinaron el historial de Google Takeout y otros registros de las personas objetivo. Esto ayudó a revelar la actividad posterior al compromiso, el nombre del dispositivo que accede a los datos y la IP de una posible conexión doméstica del atacante.
• Los autores también señalaron otros trabajos de investigación y atribución que realizaron:
  • Se refirieron a la investigación de grupos de inteligencia de amenazas en grupos de amenazas persistentes avanzadas (APT) (consulte y marque esta APT Group and Operations Google Sheet).
  • Revisaron el código fuente para identificar bloques de código reutilizados o similares en amenazas previamente investigadas.
  • Escribieron sobre otras tácticas de los atacantes, como hacerse pasar por organizadores de conferencias/cumbres o figuras clave de ONG.
• Por último, el informe también comparte indicadores técnicos de compromiso.

Inspección automatizada en sandbox de un sitio web

El primer paso cuando esté listo para inspeccionar un sitio web enlazado desde un mensaje de phishing puede ser examinar el sitio web de forma segura. Esto implica cierto grado de interacción con el sitio web. Para la manipulación directa de un sitio web potencialmente malicioso, debe haber tomado precauciones que le permitan trabajar en un entorno seguro, como se explica en el Subtema 3. Sin embargo, también puede utilizar herramientas en línea para inspeccionar un sitio web en una sandbox remota segura:

• 🧰 Herramientas UrlScan permiten la realización de un escaneo de una URL. Tenga en cuenta algunas de las características clave y las habilidades necesarias para interpretar los resultados:
  • Cuando ejecute un análisis, elija Public, Unlisted o Private. Lea su explicación de la diferencia, pero sepa que un escaneo público (la opción predeterminada) mostrará la URL en su portada.
  • Imagen en vivo del sitio web (este puede ser el primer paso de una clasificación simple si el modelo de amenaza le permite iniciar esta exploración)
  • Información de dominio e IP
  • Recursos cargados, incluidos scripts y AJAX (pestaña HTTP)
  • Elementos dinámicos, cookies, variables (pestaña Comportamiento)
  • Redirecciones (si las hay)
  • Indicadores como dominios, IP, cadenas, hashes (pestaña Indicadores)
    • Un hash es como una huella digital corta de un archivo: se puede utilizar para identificar un archivo único sin revelar su contenido. Puede calcular un hash utilizando la línea de comando en Windows, macOS y Linux.
  • Contenido tales como formularios (pestaña Contenido)
  • Tecnologías utilizadas (tales como un CMS)
  • Veredictos (en caso de que otros hayan marcado la URL como maliciosa)
  • Botón de búsqueda para comprobar el sitio en otros motores de análisis
• 🧰Análisis Híbrido es una sandbox alojada que puede cargar una página web dentro de un entorno de prueba y hacer coincidir el comportamiento del sitio web con varias heurísticas de actividad maliciosa y verificar los indicadores internos contra amenazas conocidas. Tenga en cuenta algunas de las características clave y las habilidades necesarias para interpretar los resultados:
  • Al enviar una URL, seleccione el entorno que se utilizará como sandbox. En caso de que seleccione ‘Escaneo Rápido’, no se llevará a cabo una ejecución completa de la caja de arena, sino más bien un conjunto más pequeño de análisis estáticos y comprobaciones de indicadores.
• VirusTotal_ también puede verificar una URL en busca de contenido malicioso. Tenga en cuenta que el análisis híbrido incluye búsquedas de VirusTotal y considera una gama más amplia de problemas para determinar su calificación.

Tenga en cuenta que una aplicación web sofisticada podría detectar que una solicitud proviene de los rangos de IP de estas herramientas y servir datos diferentes o ningún dato a la solicitud, mientras entrega contenido malicioso a otras IP.

Manual y herramientas específicas para la inspección de un sitio web

Una de las formas más sencillas de analizar un sitio web es utilizar la herramienta de inspección incorporada en nuestro navegador, que suele dividir el sitio en diferentes partes, a veces puede ilustrar qué código solicita el sitio web y a qué servidor, y nos permite modificar el código del sitio y ver cómo cambia el diseño y la funcionalidad.

Fuerza bruta

Al igual que en el informe de Human Rights Watch vinculado anteriormente, el uso de enfoques programáticos para las URL de fuerza bruta es una técnica de uso común durante OSINT. Se pueden aprender varias herramientas y enfoques:

• OWASP DirBuster
• Generadores de listas de palabras: Utilizadas a menudo para descifrar contraseñas, las listas de palabras también se emplean para descubrir por fuerza bruta carpetas y subdominios. Estas listas de palabras funcionarán en conjunto con las herramientas enumeradas en el punto anterior. Ver herramientas como Crunch (Tutorial 1 | Tutorial 2)

Análisis del kit de phishing

La mayoría de los ataques que encontrará utilizarán un kit de phishing prefabricado o modificado, una colección de código y plantillas que permiten a los atacantes crear fácilmente un sitio web de phishing convincente. Algunos kits de phishing tienen signos reveladores; muchos de ellos, por ejemplo, utilizan ciertos mecanismos para evitar ser detectados e indexados por los motores de búsqueda. Incluso pueden negarse a cargar desde las direcciones IP de los motores de búsqueda o las empresas de seguridad.

Algunos kits de phishing también tienen la capacidad de eludir la autenticación multifactor, por ejemplo capturando un código que una persona objetivo tecleó e inmediatamente usándolo para iniciar sesión en la página web real en su nombre. Este artículo es un gran escrito sobre cómo un kit de phishing de código abierto utilizado por los equipos de seguridad puede capturar y utilizar datos de autenticación de dos factores (y qué se podría hacer para evitarlo). También puede consultar otro informe de un kit de phishing, esta vez escrito por ciberdelincuentes, que utilizaba algunas técnicas fascinantes y de bypass de MFA para frustrar la detección.

Practique

• Lea el siguiente artículo, que le muestra cómo usar urlscan.io para analizar una página. Realice las mismas búsquedas y análisis que en el artículo, y considere cómo el autor llegó a las conclusiones finales.
• Examine un segundo análisis del mismo autor. Siga los enlaces que dio a VirusTotal, UrlScan y Hybrid Analysis, y vea si entiende cómo llegó a las conclusiones que llegó.

Comprobación de Habilidades

Complete esta sala con TryHackMe: Recorrido por una Aplicación

• Revise la tarea dos en esta sala TryHackMe.
• Analice un sitio web malicioso (por ejemplo, un dominio que aparece en PhishTank) utilizando una combinación de análisis pasivo y activo, asegurándose de hacer el análisis activo en un entorno aislado o utilizando una herramienta como UrlScan. Responda las siguientes preguntas sobre el sitio y exprese sus respuestas a las preguntas anteriores con un compañero o un mentor:
  • ¿Quién es el propietario de la infraestructura que sirve al sitio web?
  • ¿Qué otros dominios cargan o enlaza este lado? ¿Qué hacen?
  • ¿Cuándo se registró este dominio?
  • (opcional) ¿Qué software se está utilizando para atender el sitio?
  • ¿Otros han clasificado el sitio como malicioso?

Recursos de Aprendizaje