Hablé en la entrega anterior de diferentes técnicas más o menos sofisticadas sobre el pharming. Nos centramos en esta ocasión en otras curiosidades de esta técnica (en principio simple) de infección.
En Hispasec hemos visto todo tipo de despropósitos a la hora de analizar troyanos que modifican el archivo hosts. Un ejemplo clásico es incluir el protocolo en el dominio. Así, podemos encontrar esto:
6.6.6.6 http://www.banco.com
e incluso:
6.6.6.6 https://www.banco.com
Cosa que no tiene ningún sentido ni efecto. Otra curiosidad vista recientemente es el intento de hacer que los usuarios precavidos que no utilizan el dominio sino la dirección IP para acceder a su banco, sean también víctimas. ¿Cómo? Intentando que la dirección IP oficial de un banco resuelva a través del archivo host hacia la dirección IP del atacante… cosa que es imposible. Por ejemplo, hemos visto esto
Donde la dirección de la izquierda es la oficial del banco. Esto no tiene demasiado sentido y no funcionará.
La solución contra el pharming
Resulta curioso que existan ya dos soluciones casi definitivas contra el pharming y todavía sea tan popular. Son muy sencillas:
-
Comprobar los certificados de las páginas a las que se accede. Los programadores de este tipo de troyanos no se molestan en crear certificados de ningún tipo. Simplemente ignoran todo el cifrado. Si los usuarios comprobasen que el sitio al que acceden está bajo SSL y además la ruta de certificación es válida, este tipo de troyanos no tendrían éxito.
-
Protección del archivo hosts. Modificar los permisos del archivo hosts para que no pueda ser modificado previene el pharming. Si el usuario de XP no es administrador en su día a día, ya está bastante protegido. Los usuarios de 7 y Vista que, aunque administradores, usen bien el UAC, también tendrán menos posibilidades de verse infectados
Curiosamente, en los troyanos que realizan pharming es en los que (y esto es una apreciación personal) he observado un menor ratio de detección por firmas de los antivirus. En el escritorio, seguro que son cazados en mayor medida a través de heurística o comportamiento, pero por firmas suelen pasar desapercibidos debido precisamente a su simplicidad en muchos casos.
Aun así, existiendo estas soluciones tan sencillas, la producción de estos troyanos continúa y la única razón es su éxito y ratio de infección.
Más información:
Curiosidades sobre el pharming (I)
Sergio de los Santos
Twitter: @ssantosv
La cosa es … que explícale tú a un usuario normal lo que son los certificados…. esto del pharming acabará dando muchos problemas, porque si los antivirus casi no lo detectan y a ojos de un usuario standard está entrando en su banco normal… el usuario standard no se dará ni cuenta.
Se va a armar un follón….