Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Monday, November 25, 2013

PAC: Proxy Auto-Config

PAC: el problema de los scripts proxy maliciosos

1 – PAC: Proxy Auto-Config

Un archivo PAC o Proxy Auto-Config es un recurso reciente que se encuentra en todos los navegadores modernos. Define la forma en que los navegadores web y otros user agent eligen de manera automática el servidor proxy más apropiado (método de acceso) para buscar una determinada URL.
El formato original del archivo PAC fue diseñado originalmente por Netscape en 1996 para Netscape Navigator 2.0. Un navegador compatible con PAC permite el acceso a una lista de funciones definidas en la especificación original de Netscape. Cada navegador ejecuta el PAC en unasandbox y permite el acceso sólo a las funciones JavaScript necesarias para su funcionamiento. Por ejemplo, no es posible acceder al user agent del navegador en un archivo PAC, aunque esté disponible en una página web normal.
PAC es un archivo de texto que define al menos una función de JavaScript, FindProxyForURL(url, host), con dos argumentos: “URL” es la URL del objeto y “host” es el host-name derivado de la URL. Esta función devuelve una dirección de un servidor proxy que se usa para buscar una determinada URL, o un hilo “DIRECT”, si no se requiere un proxy. Por convención, el archivo PAC se llama proxy.pac.
Su aplicación en redes corporativas es en extremo útil para los administradores de redes porque les permite redirigir el tráfico interno. La localización de un archivo PAC está especificada, por ejemplo podría conducir a una URL en la que se encuentra el script; esta URL debe estar definida en la configuración del navegador:

 

2 – PAC: el “Problem Auto-Config”

3 – PAC: Pequeño-Archivo-Criminal

A medida que algunas compañías antivirus comenzaron a trabajar en la detección de firmas de scripts PAC maliciosos, la respuesta llegó en forma de una mayor ofuscación del código en un intento de burlar la detección.
Y esto tuvo éxito: incluso hoy en día, la mayoría de las compañías antivirus poseen un bajo índice de detección de estos PACs maliciosos. Se trata de una función legítima de los navegadores y puesto que existen PACs legítimos, una variedad de productos de seguridad son extremadamente cuidadosos en sus detecciones para evitar falsos positivos.
Algunos de ellos no pueden ofrecer ninguna solución a este problema.
Los ciberdelincuentes brasileños comenzaron a usar todo tipo de ofuscación JavaScript en estos archivos PAC maliciosos a fin de burlar la detección de firmas. Algunos llegaron más lejos, con la creación de herramientas para automatizar esta ofuscación y su comercialización entre sus pares del ciberhampa a un precio de unos 2500 dólares americanos.

Conclusión

Estos scripts maliciosos quedan fuera del alcance del radar de la mayoría de las compañías antivirus; algunas han fracasado rotundamente en detectar y bloquear estos ataques. Nuestro objetivo es alentar a todas las compañías antivirus para que consideren este vector de ataque y trabajen de forma conjunta para ofrecer una mejor protección y contramedidas eficaces. Hoy en día, los ciberdelincuentes están muy concentrados en burlar las medidas de seguridad y están invirtiendo recursos en herramientas capaces de ofuscar los códigos para que puedan seguir robando furtivamente el dinero de las cuentas de sus víctimas.

Fuente:
Kaspersky Lab