agosto 16, 2016

Blackwords

Reporte Sarg de accesos de Malware basado en WSH
En el post Malware Microsoft Windows Based Script Host explicamos el comportamiento de los virus que utilizan el motor WSH, incluido por defecto en Windows, para lanzar su carga útil. 
Pero no es todo lo que hacen. En el post sobre el malware Excel.WsF, explicamos que generalmente estos ejemplares se comunican con sus creadores, o tal vez con un bot o solo Dios sabe con qué o con quién.
En cualquier caso se puede detectar actividad anormal en los logs, siempre y cuando tengamos activado algún sistemas de monitoreo. Y, tanto su detección como bloqueo de acceso es relativamente sencillo. Basta con instalar squid-cache en nuestro servidor y bloquear la url o IP a la que interna acceder el "veneno".
Sin embargo, no siempre estos "personajes" suelen acceder a URL/IP. En ocasiones, la actividad del malware muestra registros no tradicionales, tal y como se muestra en la imagen del encabezado del post, correspondiente a un reporte de Sarg. Ahí podemos apreciar que no existen dominios de nivel superior tlds (.com, .net, etc), ni otra clase de dominio.
Afortunadamente para esto squid-cache también tiene una regla, que si bien no es muy recomendable usarla porque puede generar falsos positivos, en un caso así, con palabras muy específicas, puede brindarnos los resultados deseados.
Creamos una lista (ACL), que a modo de ejemplo llamaremos blackwords y ahí incluimos "las palabras" de acceso del malware; tales como:
### Malware ###
akypkjyg
avbhfcx
bgnuhel
bsgwubttkrqxom
byyhledheuqmlx
cezbooriofdb
dibtmyhui
djgcnbxvhfdnvy
dtkekhzhjm3
egackzjltmrth
firtnwusttiqljd
fykhqtnfbln
gbhphmdbwj
gdccxvzle
gkuaecudqx
guibculkx
gvradwwhv
halbpikavkefxun
hbeapjdrad
ihacgeogmu
ilvhzddk
imuyvbl
ioitimj
itasfycf
jdmwovdtl
jpgqgxmjfny
jtnkanibusk
jxpametwtjtp
kgvoyuxhij
lforjztyaoqnuvw
llfahumoziq
lqteckxovido
lvaxpvfubxjqsx
lwuznzrkp
mldwgptlaz
mlpylwwpzsubtdz
mmfgdnxkux
ngaqwlacef
ngesmtueafir
nkbgvahkjf
nnhecurcvtlqk
npndlovls
nygczzcq
owgchttlvev
psuhqsdzrx
ptcciubreogmf
ptrxcz
pudqfhukfrwo
qfldjjnbn
qkckbclr
qrrcrkhynthgoyq
qyjunrlfl
ratpcineuusp
rcuribi
rdwdtruhunra
rmgnqxfdw
ronkyrwphq
rullqomexxjbta
sgfzoldaxknv
slxkmwrsvzmjkg
stmltjhsoywm
sxnwdubcdpbnc
tdblmsoh
udddyyj
uicbugdyqjgrvse
umcnlus
urbrfhy
vabrikemuwhlw
vhdgeoxigghtmfj
vjivhfekl
wdqewiwheoo
xirrlibkkydokd
xykpofzhedlwep
yenoccocj
ykxeoxl
ymznlyrrs
ynkpyyz
zuqggkphgfm
zvmohxz
zvqosbki
Guardamos nuestra lista en donde queramos y editamos nuestro archivo de configuración de squid (squid.conf) y ponemos la siguiente regla:
acl blackwords url_regex -i "/ruta/blackwords.txt"
http_access deny blackwords
Cambie /ruta/ por el directorio donde almacenará la ACL
Maravento, Actualizado en: 20:08
Escrito por: Maravento Studio
 
© 2017 Maravento. All Rights Reserved | Powered by Maravento
Design by Novatoz and Maravento | Bloggerized By LawnyDesignz
# https://github.com/google/code-prettify