Blackwords
 |
| Reporte Sarg de accesos de Malware basado en WSH |
Pero no es todo lo que hacen. En el post sobre el malware Excel.WsF, explicamos que generalmente estos ejemplares se comunican con sus creadores, o tal vez con un bot o solo Dios sabe con qué o con quién.
En cualquier caso se puede detectar actividad anormal en los logs, siempre y cuando tengamos activado algún sistemas de monitoreo. Y, tanto su detección como bloqueo de acceso es relativamente sencillo. Basta con instalar squid-cache en nuestro servidor y bloquear la url o IP a la que interna acceder el "veneno".
Sin embargo, no siempre estos "personajes" suelen acceder a URL/IP. En ocasiones, la actividad del malware muestra registros no tradicionales, tal y como se muestra en la imagen del encabezado del post, correspondiente a un reporte de Sarg. Ahí podemos apreciar que no existen dominios de nivel superior tlds (.com, .net, etc), ni otra clase de dominio.
Afortunadamente para esto squid-cache también tiene una regla, que si bien no es muy recomendable usarla porque puede generar falsos positivos, en un caso así, con palabras muy específicas, puede brindarnos los resultados deseados.
Afortunadamente para esto squid-cache también tiene una regla, que si bien no es muy recomendable usarla porque puede generar falsos positivos, en un caso así, con palabras muy específicas, puede brindarnos los resultados deseados.
Creamos una lista (ACL), que a modo de ejemplo llamaremos blackwords y ahí incluimos "las palabras" de acceso del malware; tales como:
### Malware ### akypkjyg avbhfcx bgnuhel bsgwubttkrqxom byyhledheuqmlx cezbooriofdb dibtmyhui djgcnbxvhfdnvy dtkekhzhjm3 egackzjltmrth firtnwusttiqljd fykhqtnfbln gbhphmdbwj gdccxvzle gkuaecudqx guibculkx gvradwwhv halbpikavkefxun hbeapjdrad ihacgeogmu ilvhzddk imuyvbl ioitimj itasfycf jdmwovdtl jpgqgxmjfny jtnkanibusk jxpametwtjtp kgvoyuxhij lforjztyaoqnuvw llfahumoziq lqteckxovido lvaxpvfubxjqsx lwuznzrkp mldwgptlaz mlpylwwpzsubtdz mmfgdnxkux ngaqwlacef ngesmtueafir nkbgvahkjf nnhecurcvtlqk npndlovls nygczzcq owgchttlvev psuhqsdzrx ptcciubreogmf ptrxcz pudqfhukfrwo qfldjjnbn qkckbclr qrrcrkhynthgoyq qyjunrlfl ratpcineuusp rcuribi rdwdtruhunra rmgnqxfdw ronkyrwphq rullqomexxjbta sgfzoldaxknv slxkmwrsvzmjkg stmltjhsoywm sxnwdubcdpbnc tdblmsoh udddyyj uicbugdyqjgrvse umcnlus urbrfhy vabrikemuwhlw vhdgeoxigghtmfj vjivhfekl wdqewiwheoo xirrlibkkydokd xykpofzhedlwep yenoccocj ykxeoxl ymznlyrrs ynkpyyz zuqggkphgfm zvmohxz zvqosbkiGuardamos nuestra lista en donde queramos y editamos nuestro archivo de configuración de squid (squid.conf) y ponemos la siguiente regla (Cambie /ruta/ por el directorio donde almacenará la ACL):
acl blackwords url_regex -i "/ruta/blackwords.txt" http_access deny blackwords
También podemos bloquear torrent y "otras cosas" con iptables:
announce announce_peer announce.php?passkey= BitTorrent bittorrent-announce find_node get_peers info_hash MIICdzCCAV netcut owari peer_id= psiphon_ssh .torrent torrent tracker tuxcut ultrasurfchromeRegla: (para el log instale nflog)
# Blockwords
bwords=/ruta/blockwords.txt
for string in `cat $bwords`; do
iptables -A FORWARD -m string --string "|$string|" --algo bm -j NFLOG --nflog-prefix 'Blockwords'
iptables -A FORWARD -m string --string "|$string|" --algo bm -j DROP
done
Post a Comment