Detecção de links com malware com o ModSecurity e o Google Safe Browsing API

A inserção de links com malware dentro de sites legítimos (considerados seguros) pode ser usado para ataques do tipo “drive-by-download”, onde o usuário acaba fazendo o download e instalando um malware sem o conhecimento ou sem conhecer as consequências.

Infelizmente (para os donos de sites legítimos), existem diversas formas pelas quais usuários maliciosos podem inserir links ou códigos de malwares nesses sites.

Um grande desafio para os proprietários de sites legítimos é que, muitas vezes, os links para os malwares não são excessivamente maliciosos. Veja dois exemplos de links de malwares que têm sido encontrados em sites:

Essa é uma das grandes diferenças entre os links de malware e muitos tipos de XSS. Esses links não estão tentando explorar uma falha no navegador em si, mas sim apontar para endereços externos onde o código real será executado. Esses links são apenas o primeiro passo para que um usuário ingênuo acabe se tornando a vítima.

Uma das maneiras de proteger seu site contra esse tipo de ataque é através de mecanismos de reputação e validação de links. E um dos grandes players dessa área, que disponibiliza sua API para ser livremente utilizada. é o Google – com seu Google Safe Browsing (GSB).

O Google disponibiliza tanto consultas dinâmicas da API do GSB quanto o download de toda a base para consultas locais. Com o ModSecurity 2.6 (versão em desenvolvimento, disponível apenas no SVN), é possível utilizar o operador @gsbLookup e facilmente validar esses links para manter seu site seguro.

O Google também disponibiliza um link direto para a página de diagnóstico do Google Safe Browsing (veja um exemplo).

Mais informações sobre como implementar essa proteção com o ModSecurity e o Google Safe Browsing, você encontra no tópico avançado da semana do blog da Spider Labs, em inglês.

Via: ModSecurity Advanced Topic of the Week: Malware Link Detection