¿Por qué los sitios web comprometidos a menudo lo llevan a través de varias redirecciones de URL?

27

Cita de la clase del instructor del curso:

  

Las siguientes son las etapas de un ataque web típico: la víctima visita un sitio web legítimo que ha sido comprometido. El sitio web comprometido redirige a la víctima a otro sitio que ejecuta código malicioso que está controlado por el atacante. La redirección puede pasar por varios servidores intermedios primero.

También me enfrenté al mismo problema. Si visito sitios de torrent y hago clic en algunos enlaces de forma errónea o intencional, me lleva a otro sitio a través de varios sitios intermediarios. ¿Por qué pasa por muchos sitios en unos pocos segundos en lugar de ir directamente al último sitio? ¿Cuál es el beneficio para el atacante?

    
pregunta again 09.02.2018 - 09:58
fuente

4 respuestas

31

En realidad hay dos casos aquí:

Un sitio que publica anuncios maliciosos ( Malvertising )

En este caso, el atacante no compromete el sitio en sí, sino que utiliza incorrectamente los anuncios dirigidos para seleccionar a la víctima en función de sus capacidades específicas (navegador, SO, geolocalización, ...) y lo ataca. Debido a la forma en que funciona la entrega de anuncios dirigida, utiliza una gran cantidad de redireccionamiento entre varios sitios, es decir, la mayoría de las redirecciones no son para la entrega de malware, sino que forman parte del proceso habitual de publicación de anuncios. Vea, por ejemplo, Cómo funciona la publicación de anuncios en tiempo real para más información. Puede haber algunas redirecciones específicas de malware en las últimas etapas por los mismos motivos que se describen para el segundo caso a continuación.

Un sitio que ha sido comprometido por un atacante

En este caso, el sitio visitado está comprometido por un atacante. El atacante usualmente solo pondrá un mínimo de redireccionamiento en el sitio comprometido por las siguientes razones:

  • Más difícil de detectar
    Si solo se instala algún código de redireccionamiento y no la carga maliciosa, existe una mayor probabilidad de que el propietario permanezca más tiempo sin ser detectado.
  • Proteja el malware de los investigadores
    El malware es valioso para el atacante. Si alguna empresa de seguridad tuviera acceso a todos los códigos maliciosos cuando limpiara el sitio comprometido, pudiera analizarlo y agregar protecciones a sus clientes, haciendo que el malware sea menos valioso de repente.
  • Mayor flexibilidad en la actualización de malware
    Si el malware es detectado por los sistemas de seguridad, el atacante necesita instalar la siguiente versión. Además, el atacante podría no ser dueño del malware, pero un atacante podría simplemente redirigir a la víctima a otro atacante que desarrolla y aloja (siempre actualizado). Ambos atacantes comparten el beneficio (es decir, el tipo de franquicia).
  • Protección contra derribos
    Mediante el uso de redirecciones, el atacante puede crear una infraestructura más flexible que sea más robusta contra los derribos o las listas negras.
respondido por el Steffen Ullrich 09.02.2018 - 12:24
fuente
9

Una técnica común que utilizan los atacantes para evitar la detección, es ofuscar la fuente desde donde el malware fue descargado por utilizando una serie de redirecciones web. Los atacantes pueden usar lo legítimo. La respuesta "302 Found" para crear una serie de redirecciones web antes del el navegador de la víctima finalmente se redirige a la página que entrega el explotar a la máquina de la víctima. Estos sitios web intermedios también son conocidas como puertas. La URL de estas puertas cambia frecuentemente, como cada media hora más o menos, para privar a los investigadores de seguridad el tiempo para reunirse Información suficiente para llegar a un análisis de ataque significativo. El uso De las puertas también se agregan capas adicionales que hacen que sea más difícil de determinar La fuente del malware. El uso de las redirecciones HTTP 302 también elimina la necesidad de iFrames o scripts externos porque las redirecciones HTTP 302 tienen menos probabilidades de levantar sospechas en comparación con los iFrames ocultos o scripts externos.

Ya sea que use un iFrame o HTTP 302, el objetivo principal del atacante es garantizar la El navegador web de la víctima termina en la página web del atacante, que sirve a la vulnerabilidad maliciosa para la víctima.

    
respondido por el again 09.02.2018 - 11:10
fuente
5

Sospecho que es para que no puedas usar el botón Atrás: hacer clic en Atrás te hará retroceder un sitio, lo que te redirigirá de inmediato.

    
respondido por el Douglas Leeder 09.02.2018 - 11:07
fuente
-4

Un sitio web comprometido NO lo redireccionará. A lo que te refieres es simplemente un 302 delantero. Lo que significa que cuando llama a mi sitio web, le estoy diciendo al navegador: oh, nos hemos mudado a sitio web2.com. Esa es la naturaleza de http y es necesario ser así.

Los sitios web de generación de anuncios / spam que 302 lo estás haciendo para un propósito diferente. Primero, lo hacen para obtener una vista previa, espere 5 segundos antes de redirigirlo y ver esto. O también lo hacen muy rápido, por lo que ha sido redirigido dentro de 10 sitios web en unos pocos segundos antes de aterrizar en ninguna parte ... eso generalmente se hace para generar tráfico en los sitios web, aumentar la clasificación, mejorar el SEO ... etc.

Un sitio web comprometido es una mina de oro. Al igual que recientemente escuchamos que Adobe estaba comprometido para ciertas personas debido a la manipulación del DNS y que los piratas informáticos estaban sirviendo a instaladores flash infectados, etc. Entonces, si un sitio web está comprometido, el objetivo es usar su autoridad y confiar en que la gente tiene que conseguir que ejecute exe . Pero si he comprometido el sitio web de adobe o x, ¿por qué lo redireccionaría a otra parte? perder tu confianza? Ofc es siempre subjetivo en cuanto a los motivos, pero haber comprometido un sitio web y simplemente usarlo para 302 es la cosa más estúpida que he escuchado.

    
respondido por el JsEveryDay 09.02.2018 - 10:36
fuente

Lea otras preguntas en las etiquetas