Los web shells, un tipo común de herramienta post-explotación que proporciona una interfaz fácil de usar a través de la cual emitir comandos a un servidor comprometido, se han vuelto cada vez más populares a medida que los atacantes se vuelven más conscientes de la nube, dicen los expertos.
Recientemente se vio un shell web conocido como WSO-NG disfrazando su sitio de inicio de sesión como una página de presentación 404 “Página no encontrada”, recopilando información sobre objetivos potenciales a través de servicios legítimos como VirusTotal y escaneando metadatos relacionados con Amazon Web Services como vía de acceso. para robar las credenciales de los desarrolladores, afirmó la empresa de gestión de Internet Akamai en un análisis publicado el 22 de noviembre. Los grupos de ransomware Cl0p y C3RB3R han implementado otros shells web, este último que aprovechó los servidores que ejecutan el servidor empresarial Atlassian Confluence en una campaña de explotación masiva a comienzos de este mes.
Los web shells se han convertido en una forma fácil de usar de emitir comandos a servidores comprometidos a medida que los atacantes apuntan cada vez más a los recursos de la nube, afirma Maxim Zavodchik, director de investigación de amenazas de Akamai.
“Hoy en día, la superficie de ataque que permiten las aplicaciones web (no sólo las API) es realmente grande”, afirma. "Entonces, cuando se explota una vulnerabilidad web, el siguiente paso más sencillo será implementar una plataforma web: un implante, algo que no sea binario, pero que hable el mismo idioma que el servidor web".
Akamai se centró en WSO-NG tras su uso en una campaña masiva Dirigirse a tiendas de comercio electrónico Magento 2, pero otros grupos utilizan shells web diferentes. El grupo de ransomware Cl0p, por ejemplo, eliminó los shells web DEWMODE y LEMURLOOT, respectivamente, después de explotar vulnerabilidades en Kiteworks Accellion FTA en 2020 y el servicio de transferencia de archivos administrado MOVEit de Progress Software en mayo, según un análisis de junio de 2023 realizado por la empresa de redes F5.
En 2021, Microsoft señaló que el uso de shells web había crecido dramáticamente, y la compañía vio casi el doble de encuentros de shells web en servidores monitoreados en comparación con el año anterior, según la compañía. declarado en un análisis. No se dispone de datos más recientes.
“Los shells web permiten a los atacantes ejecutar comandos en servidores para robar datos o usar el servidor como [una] plataforma de lanzamiento para otras actividades como robo de credenciales, movimiento lateral, implementación de cargas útiles adicionales o actividades prácticas con el teclado, al tiempo que permiten a los atacantes persisten en una organización afectada”, afirmó Microsoft en su análisis.
Sigiloso y anónimo
Una de las razones por las que los atacantes han recurrido a los shells web es su capacidad para pasar desapercibidos. Los shells web son difíciles de detectar con técnicas de análisis estático, porque los archivos y el código son muy fáciles de modificar. Además, el tráfico web shell (porque es sólo HTTP o HTTPS) se mezcla perfectamente, lo que dificulta su detección con el análisis de tráfico, afirma Zavodchik de Akamai.
"Se comunican en los mismos puertos y es simplemente otra página del sitio web", afirma. “No es como el malware clásico que abre la conexión desde el servidor al atacante. El atacante simplemente navega por el sitio web. No hay ninguna conexión maliciosa, por lo que no hay conexiones anómalas desde el servidor al atacante”.
Además, debido a que existen tantos shells web disponibles en el mercado, los atacantes pueden usarlos sin avisar a los defensores sobre su identidad. El shell web WSO-NG, por ejemplo, está disponible en GitHub. Y Kali Linux es de código abierto; Es una distribución de Linux centrada en proporcionar herramientas fáciles de usar para equipos rojos y operaciones ofensivas, y proporciona 14 shells web diferentes, lo que brinda a los evaluadores de penetración la capacidad de cargar y descargar archivos, ejecutar comandos y crear y consultar bases de datos y archivos.
"Cuando los actores de amenazas APT... pasan de implantes binarios especialmente diseñados a shells web (ya sea sus propios shells web o algunos shells web genéricos), nadie podría atribuir esos factores a grupos específicos", afirma Zavodchik.
Defender con vigilancia sospechosa
Las mejores defensas son monitorear el tráfico web en busca de patrones sospechosos, parámetros de URL anómalos y URL y direcciones IP desconocidas. Verificar la integridad de los servidores también es una táctica defensiva clave, escribió Malcolm Heath, investigador senior de amenazas de F5 Networks, en una publicación de junio sobre Web shells.
"El monitoreo del contenido del directorio también es un buen enfoque, y existen algunos programas que pueden detectar cambios en los directorios monitoreados inmediatamente y revertir los cambios automáticamente", afirmó la compañía. "Además, algunas herramientas defensivas permiten la detección de creación de procesos anómalos".
Otros métodos incluyen centrarse en detectar el acceso inicial y la implementación de un shell web. Los firewalls de aplicaciones web (WAF), con su capacidad de observar los flujos de tráfico, también son medidas defensivas sólidas.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :es
- :no
- 14
- 2020
- 2021
- 2023
- 7
- a
- capacidad
- Nuestra Empresa
- de la máquina
- Conforme
- actividades
- actividad
- los actores
- adición
- Adicionales
- Adicionalmente
- direcciones
- afectado
- Después
- permitir
- Permitir
- permite
- también
- Amazon
- Amazon Web Services
- an
- análisis
- y
- Otra
- API
- Aplicación
- aplicaciones
- enfoque
- APT
- archivo
- somos
- AS
- At
- atacar
- automáticamente
- Hoy Disponibles
- Atrás
- BE
- porque
- a las que has recomendado
- esto
- MEJOR
- combina
- pero
- by
- Campaña
- PUEDEN
- Cambios
- clásico
- Soluciones
- código
- Algunos
- Comunicarse
- compañía
- en comparación con
- Comprometida
- confluencia
- conexión
- Conexiones
- contenido
- podría
- Creamos
- creación
- CREDENCIAL
- Referencias
- datos
- bases de datos
- los defensores
- defensiva
- desplegar
- desplegado
- despliegue
- detectar
- Detección
- desarrolladores
- una experiencia diferente
- Director
- directorios
- doble
- descargar
- dramáticamente
- caído
- comercio electrónico
- Más temprano
- fácil
- de forma sencilla
- fácil de usar
- ya sea
- Empresa
- ejemplo
- ejecutar
- existe
- expertos
- explotación
- Explotado
- explotando
- factores importantes
- Archive
- archivos
- cortafuegos
- Firme
- Flujos
- centrado
- enfoque
- siguiendo
- encontrado
- Desde
- Obtén
- Pandillas
- reunión
- GitHub
- Diezmos y Ofrendas
- Go
- candidato
- Grupo procesos
- Grupo
- crecido
- tenido
- Difícil
- Tienen
- he
- http
- HTTPS
- Identidad
- inmediatamente
- in
- incluir
- cada vez más
- información
- inicial
- ejemplo
- integridad
- Interfaz
- Internet
- IP
- Direcciones IP
- emisor
- IT
- SUS
- jpg
- junio
- solo
- Clave
- conocido
- idioma
- large
- lanzamiento
- legítima
- como
- Linux
- Inicie sesión
- Mira
- Realizar
- el malware
- gestionado
- Management
- muchos
- Misa
- masivo
- Máxima
- Puede..
- medidas
- metadatos
- métodos
- Microsoft
- modificar
- monitoreado
- monitoreo
- Mes
- más,
- Por otra parte
- movimiento
- movimiento
- hace casi
- red
- telecomunicaciones
- Next
- no
- señaló
- nov
- of
- off
- ofensiva
- on
- ONE
- habiertos
- de código abierto
- Operaciones
- or
- organización
- Otro
- EL DESARROLLADOR
- almohadilla
- página
- parámetros
- camino
- .
- precios
- persistencia
- plataforma
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Popular
- puertos
- Publicación
- publicado
- posible
- Anterior
- Programas
- Progreso
- proporciona un
- proporcionando
- radar
- ransomware
- RE
- realmente
- razón
- reciente
- recientemente
- Rojo
- relacionado
- la investigación
- investigador
- Recursos
- respectivamente
- Derecho
- Rodar
- Ejecutar
- correr
- s
- mismo
- dices
- dice
- exploración
- ver
- visto
- mayor
- servidor
- Servidores
- de coches
- Servicios
- Cáscara
- página web
- So
- Software
- sólido
- algo
- algo
- sofisticación
- Fuente
- especialmente
- soluciones y
- dijo
- estático
- quedarse
- Stealth
- paso
- tal
- Superficie
- suspicaz
- adaptado
- toma
- Discursos
- Target
- tiene como objetivo
- equipos
- técnicas
- probadores
- esa
- La
- robo
- su
- Les
- Ahí.
- ellos
- así
- aquellos
- amenaza
- actores de amenaza
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- a
- hoy
- del IRS
- tráfico
- transferir
- tipo
- bajo
- desconocido
- Enlance
- utilizan el
- verificando
- Vulnerabilidades
- vulnerabilidad
- fue
- Camino..
- web
- Aplicación web
- aplicaciones web
- servidor web
- servicios web
- Tráfico web
- Página web
- cuando
- que
- mientras
- seguirá
- sin
- escribí
- año
- Usted
- zephyrnet