Como analizar correctamente una URL
 |
| Imagen de Portada |
En muchos casos, querrás analizar una URL en busca de posible malware.
En este articulo te explicare como analizar una URL sin que te falte ni una parte.
Es común que recibas una URL de algún lugar sospechoso, y en esos casos no deberías abrirla. Si la vas a abrir, al menos tienes que saber lo que estas haciendo.
Desde ya te digo, si la URL promete cosas pagas gratis, no te molestes en analizarla, directamente ni pienses en entrar. En el 99.99% de los casos, algo malo ocurrirá.
Primero debes comprender que hay tres tipos de cosas que pueden ocurrir en una pagina maliciosa.
- Te infectan
- Te hacen descargar algo, y luego te infectan
- Te hacen ingresar credenciales para registrarlas y usarlas ellos
Nunca debes descargar ni mucho menos instalar archivos de paginas sospechosas.
Escanear la URL
Lo primero que debes hacer antes de entrar a una web de la cual desconfias, es analizarla. Aqui hay dos herramientas con las cuales podras hacerlo.
VirusTotal
Si bien VirusTotal normalmente es usado para escanear archivos, tambien lo puedes usar para escanear URLs.
Al entrar a VirusTotal veras que esta dividido en tres secciones, File, URL, y Search. En nuestro caso, seleccionaremos URL.
Al acabar el escaneo, veremos una pantalla como esta, donde lista una serie de antiviruses y los resultados de los escaneos con los mismos. En caso de que alguno detecte alguna advertencia, se mostrara arriba de todo.
Esto aun no es todo, puedes examinar la pestaña "Details" para examinar mas. Ahí veremos detalles interesantes, como "HTTP Response", que muestra el tipo de documento que se envía, el tamaño, entre otros. Y lo mas importante, abajo de todo, "Redirection Chain", que nos mostrara en orden todos los sitios por los que pasamos hasta llegar al final. Por ejemplo, un acortador y luego la URL final.
URLScan.io
URLScan.io es un servicio exclusivamente dedicado a analisis de URLs. Solo debemos ingresar la URL a escanear y esperar unos segundos.
Cuando acabe el escaneo, tendremos un interesante informe sobre la URL. Al principio, estaremos en el "Summary". A primera vista, el summary tiene dos secciones que nos interesan, "Verdict", y un screenshot de la página.
Si el Verdict dice "No classification", no ha sido detectado. ¡Ojo! Una cosa es que sea seguro, otra que no haya sido detectado. En el caso de las webs generalmente cuando no los detecta es que no hay codigo malicioso. Aun asi, puede tratarse de suplantacion de identidad de una pagina real, por ejemplo, que haga parecer que es Gmail para pedirte tu direccion de email y clave, pero en realidad solo las guarda para que despues un hacker detras de todo eso acceda a tu email.
Debajo del Verdict, encontraremos la informacion de Google Safe Browsing, que es otro servicio de escaneo.
Tambien como en VirusTotal, tenemos muchas otras pestañas que podemos visitar. HTTP, es una pestaña muy interesante, porque nos muestra todas las peticiones que hace la web que escaneamos, como solicitudes de hoja de estilos CSS, imágenes, o archivos JavaScript.
La pestaña Redirects, funciona de la misma manera que la seccion "Redirection Chain" en VirusTotal. Nos mostrara en orden todos los sitios por los que pasamos hasta llegar al final. Por ejemplo, un acortador y luego la URL final.
La pestaña Links, nos mostrara todos los links que hay en el documento final de la URL que estamos escaneando.
La seccion "Behaviour", nos muestra comportamientos similares, entre otros. ¡Ojo!, esta seccion suele mostrar la advertencia "Attention" cuando hay mucha actividad desde el mismo dominio, por ejemplo, muchas páginas web en el mismo host, para resumir, muchos blogs en Blogger.
Por ultimo, tenemos la seccion DOM, donde podremos examinar el codigo HTML del documento final, esto nos puede ayudar a identificar scripts maliciosos a los desarrolladores.
Comentarios
Publicar un comentario