Blackwords
 |
| Reporte Sarg de accesos de Malware basado en WSH |
Pero no es todo lo que hacen. En el post sobre el malware Excel.WsF, explicamos que generalmente estos ejemplares se comunican con sus creadores, o tal vez con un bot o solo Dios sabe con qué o con quién.
En cualquier caso se puede detectar actividad anormal en los logs, siempre y cuando tengamos activado algún sistemas de monitoreo. Y, tanto su detección como bloqueo de acceso es relativamente sencillo. Basta con instalar squid-cache en nuestro servidor y bloquear la url o IP a la que interna acceder el "veneno".
Sin embargo, no siempre estos "personajes" suelen acceder a URL/IP. En ocasiones, la actividad del malware muestra registros no tradicionales, tal y como se muestra en la imagen del encabezado del post, correspondiente a un reporte de Sarg. Ahí podemos apreciar que no existen dominios de nivel superior tlds (.com, .net, etc), ni otra clase de dominio.
Afortunadamente para esto squid-cache también tiene una regla, que si bien no es muy recomendable usarla porque puede generar falsos positivos, en un caso así, con palabras muy específicas, puede brindarnos los resultados deseados.
Afortunadamente para esto squid-cache también tiene una regla, que si bien no es muy recomendable usarla porque puede generar falsos positivos, en un caso así, con palabras muy específicas, puede brindarnos los resultados deseados.
Creamos una lista (ACL), que a modo de ejemplo llamaremos blackwords y ahí incluimos "las palabras" de acceso del malware; tales como:
### Malware ### akypkjyg avbhfcx bgnuhel bsgwubttkrqxom byyhledheuqmlx cezbooriofdb dibtmyhui djgcnbxvhfdnvy dtkekhzhjm3 egackzjltmrth firtnwusttiqljd fykhqtnfbln gbhphmdbwj gdccxvzle gkuaecudqx guibculkx gvradwwhv halbpikavkefxun hbeapjdrad ihacgeogmu ilvhzddk imuyvbl ioitimj itasfycf jdmwovdtl jpgqgxmjfny jtnkanibusk jxpametwtjtp kgvoyuxhij lforjztyaoqnuvw llfahumoziq lqteckxovido lvaxpvfubxjqsx lwuznzrkp mldwgptlaz mlpylwwpzsubtdz mmfgdnxkux ngaqwlacef ngesmtueafir nkbgvahkjf nnhecurcvtlqk npndlovls nygczzcq owgchttlvev psuhqsdzrx ptcciubreogmf ptrxcz pudqfhukfrwo qfldjjnbn qkckbclr qrrcrkhynthgoyq qyjunrlfl ratpcineuusp rcuribi rdwdtruhunra rmgnqxfdw ronkyrwphq rullqomexxjbta sgfzoldaxknv slxkmwrsvzmjkg stmltjhsoywm sxnwdubcdpbnc tdblmsoh udddyyj uicbugdyqjgrvse umcnlus urbrfhy vabrikemuwhlw vhdgeoxigghtmfj vjivhfekl wdqewiwheoo xirrlibkkydokd xykpofzhedlwep yenoccocj ykxeoxl ymznlyrrs ynkpyyz zuqggkphgfm zvmohxz zvqosbkiGuardamos nuestra lista en donde queramos y editamos nuestro archivo de configuración de squid (squid.conf) y ponemos la siguiente regla:
acl blackwords url_regex -i "/ruta/blackwords.txt" http_access deny blackwordsCambie /ruta/ por el directorio donde almacenará la ACL
Post a Comment