• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Cryptojacking. Escuchando a la otra parte afectada del negocio.

Cryptojacking. Escuchando a la otra parte afectada del negocio.

22 febrero, 2018 Por Hispasec Deja un comentario

Tengo que admitir que dejé de ir a charlas de seguridad hace bastante tiempo. En su lugar, para compensar, voy a las de desarrolladores. No nos engañemos, me encanta mi trabajo, que no es otro que desmontar pieza a pieza lo que otros han construido. Pero también me gusta construir y, por supuesto, si lo que levantas del suelo no es a demanda sino algo que te propones como un reto, mayor es el aliciente. Además, mucho mejor estar cerca de mis “enemigos” que de mis «amigos» ¿no?
Al salir de una de estas charlas me encontré con un viejo amigo que tiene una empresa de desarrollo y hosting. Nos fuimos a saquear el aperitivo y se nos unieron varios compañeros más. Muy pronto, la conversación derivó en uno de los temas de moda y del que ya hemos hablado alguna que otra vez por aquí: el cryptojacking. Aunque intenté darme a la fuga antes de que el tema cogiese más protagonismo, mi amigo me paró en seco. “Ah!, pues aquí el amigo, que se dedica a seguridad, nos puede dar su visión del tema.”
El tópico interesaba, y mucho, y de nada sirvieron las cinco excusas nivel oro de mi libro de excusas para huir de ciertas situaciones sociales (lógico, quienes me conocen saben cómo contratacarlas). Así que teníamos por delante veinte minutos de conversación acerca de la dichosa minería. No obstante, al final mereció la pena. Pude constatar la preocupación con la que asumían la problemática. Me pareció interesante dar eco aquí de ciertos aspectos.
El cambio de economía
Me comentaban qué, de los servidores atacados en sus sistemas, normalmente accedían (un clásico) a través de una vulnerabilidad web. Cuando antes era subir una Shell, ahora es, con alarmante diferencia, subir un minero. No al propio servidor, que eso pega un cantazo tremendo en los consumos, muy monitorizados, de CPU de las máquinas, sino, evidentemente, como recurso para que se los descarguen los navegadores.
Antes, si subían un phishing o un troyano, el visitante no se percataba del sitio donde le habían encasquetado el paquete. Eso era porque la visita era indirecta en la mayoría de ocasionas y otras veces, por supuesto, la infección es silenciosa y el visitante no se percataba donde “le habían untado la tostada”.
Sin embargo, con el minado si se nota. Llega al lugar y el ventilador se pone a fibrilar. La CPU a tope, tanto que podría calentar una habitación en un par de horas. Entonces sí que te das cuenta donde te la están dando. El visitante lo tiene claro, ctrl-w, pestaña cerrada y sitio del que desconfía. La pérdida de visitas, marca, prestigio, etc, que tanto cuesta construir corre el riesgo de irse al traste. También la inclusión de lista negra, etc.
Era curioso, como incluso en ese falso dilema de escoger entre las “antiguas” amenazas o esta nueva moda del minado, preferían el suplicio de tener un merodeador con una Shell o que les alojasen un troyano. Ambos casos los suelen tener, junto con el mass mailing, bastante trillados y su ventana de existencia está bastante acotada. Sobre todo, porque han ido perfeccionando sus soluciones in-house o las de terceros.
Vectores de entrada
Todo vale en la guerra. Los métodos de entrada no suelen variar, pero esta vez el logro no es hacerse con el sistema sino “colar” el minero a toda costa. Escuché atentamente, aunque nada sonaba a novedoso, ellos no hablaban de extensiones para el navegador maliciosas, minería explícita (caso PirateBay), etc. Su punto de vista, lógico, es defender el negocio y su preocupación quienes les visitan, la experiencia del usuario.
Los casos eran curiosos. Foros vulnerables con comentarios que incluían scripts, cross-site scripting persistentes, funcionalidad de user-content muy permisivas e incluso un notorio caso donde los señores crackers habían añadido un CDN de su propia red de contenido donde, por supuesto el usuario no descargaba precisamente versiones minimizadas del framework de moda.
Algo curioso que les comenté era el hecho de las campañas de anuncios con mineros. Nada nuevo bajo el sol, pero desconocían ese vector. Curioso que les sorprendieran, aunque si recordaban el viejo truco de endiñar un exploit a través de un, en sus tiempos, anuncio en flash (que en paz descanse de una vez).
Posibles defensas
Apurando ya los últimos sorbos de la copa (en realidad eran vasos con refrescos, pero copas queda mejor literariamente), tocaba hablar de cómo te defiendes de algo así. Había unanimidad en que andaban un poco a tientas con las soluciones. Prácticamente se usaban los mismos enseres y técnicas que el rastreo de shells o cambios en los sitios que con el malware o phishing. Eso si se ponía remedio, pues también confesaron que…oh, sorpresa, no actuaban hasta que alguien les avisaba.
Hubo quien proponía inyectar scripts para detectar y detener mineros. Mi sonrisa me delató. Eso es una carrera de ratas recursiva, al final siempre hay un anti-anti-anti-anti…hasta la saciedad. Tú me inyectas un script para detenerme, yo meto una rutina de antidetección, tu detectas mi rutina que detecta tu rutina y…quien haya visto a los hermanos Marx sabe de qué estamos hablando.
También se habló de cazar esos scripts por la huella que dejan. Es decir, rastreo los scripts los ejecuto en una sandbox y en base a un perfil de consumo alerto de posible minero. Si y no. Eso puede durar lo suficiente como para que o bien procedan a detectar ese ambiente e inhibirse (como hacen el malware cuando detecta una máquina virtual) o simplemente el script se trocea en partes y no se activa su función principal hasta que estás se recomponen en una sola. Incluso dudaba del perfil de consumo como capacidad para hacer vetting de los scripts, sobre todo porque hay scripts que sí que legítimamente requieren consumo: WebGL, generación de gráficas, video incrustado, etc. Si bien hay capacidad y recorrido para la heurística, no creo (el pesimismo del auditor) que sea la panacea.
¿Pero y que solución le damos?
Nos anuncian que va a dar comienzo otra charla. Apuramos “la copa” y cogemos unos cuantos canapés sin que se notase mucho, por si aprieta el gusanillo más tarde. Estaba ya a punto de librarme de la pregunta que se estaba gestando minutos antes. A los 123 grados de giro de un espectacular quiebro de cintura que ya quisieran el propio Messi o Cristiano y dos pasos de distancia, escuché la temida interpelación: “¿Oye, pero dinos, esto como ves que pueda solucionarse o al menos paliarse, tu que trabajas con…?”
Francamente. Habíamos estado hablando de soluciones post infección y nadie de nosotros se había percatado de lo obvio. “Bueno, si tienes agujeros y muchos, lo más probable es que antes o después alguien pase por ahí y se aproveche de ellos. ¿Habéis probado a auditar vuestra infraestructura de forma periódica o al menos implementar un desarrollo seguro en lo que hacéis?”

Por supuesto, era una obviedad, no se hacía, pero estaba claro que esto es como la salud. Es preferible cuidarla antes que tener que poner soluciones cuando ya es demasiado tarde, cuando todo es paliativo, crónico e irreversible. Ellos se llevaron un par de viejos conceptos de seguridad, pero nuevos para ellos. Y yo me llevé la impresión de que los que nos dedicamos a la seguridad deberíamos escucharlos más donde realmente están los que tienen los problemas que pretendemos solucionar.

David García
@dgn1729







Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • Campañas de phishing utilizan Flipper Zero como cebo
  • USB Killer, el enchufable que puede freir tu equipo
  • Tamagotchi para hackers: Flipper Zero

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR