27 abr 2013

URLQUERY, SERVICIO WEB PARA EL ANÁLISIS DE MALWARE

A día de hoy es complicado saber si no quedaremos infectados al navegar por Internet. Para infectarnos no hace falta que vayamos ha navegar en aquella página que nos puede venir en un correo de SPAM, si no que ahora una de las prácticas habituales de los ciber-criminales es infectar páginas legítimas.

Y esto, ¿porque ocurre?

Bueno es mas fácil poder llegar a infectar a usuarios que vistan webs legítimas que no intentar obligar al usuario a visitar un link que le llegará por correo ¿No?

Para tratar de analizar estas páginas webs existen páginas que nos facilitarán en poco tiempo un reporte de si hay algo peligroso en dicha página web. Uno de esos servicios es URLQuery.

Si vamos hacia la página web encontraremos los análisis que ha ido realizando la gente:

Nos da bastante información como la fecha, si en el IDS saltó una alerta o no, además de la IP e URL/IP.

Vamos a ver primero un ejemplo de una página de dominio .cat de aquí de Cataluña! Veremos un ejemplo de un report de un escaneo.

Podremos ver un resumen del escaneo, en el resumen vemos

  • URL
  • ASN
  • Localización
  • Fecha del report
  • Status
  • Alertas

Además podremos ver un pantallazo de la página web.

En Settings veremos con que parámetros se ha configurado el escaneo. En este caso podemos ver que versiones específicas han saltado.

También podemos ver la parte de alertas que ha saltado en los motores.

Que mas cosas podemos ver en el reporte de URLQuery

Si URLQuery ha encontrado mas alertas en el mismo DOMINIO/IP/ASN nos lo mostrará, para poder ver relación entre infecciones por ejemplo.

Otra de las cosas interesantes es poder ver los Javascripts que se ejecutan en la página para ver si hay alguno malicioso, por ejemplo.

También podremos ver las transacciones HTTP que hay en la web.

En la última parte del report podemos ver los REQUEST que hace la página y los response recibidos.Vamos a ver en un ejemplo de infección en la web, que indicadores deberíamos de tener en cuenta.

Una de las alertas en las que nos tenemos que fijar en URLQuery es en los Javascript que carga la página, aquí podremos ver funciones EVAL, por ejemplo.

Esta es una de las cosas que podremos tener en cuenta.

Otra de las cosas que podremos ver es las peticiones que se realizan desde la página al cargarla:

URLQuery además nos marcará la petición en amarillo para que la revisemos.

URLQuery es gratis y permite analizar las URL’s que necesites, por otro lado además tienen el apartado de estadísticas en el que podrás consultar que Exploits Packs son los que mas han analizado. También cuando realices un análisis puedes cambiar la versión de Java y Adobe además del navegador.

1 comentario: