Os web shells, um tipo comum de ferramenta pós-exploração que fornece uma interface fácil de usar através da qual podem ser emitidos comandos para um servidor comprometido, tornaram-se cada vez mais populares à medida que os invasores se tornam mais conscientes da nuvem, dizem os especialistas.
Um shell da Web conhecido como WSO-NG foi visto recentemente disfarçando seu site de login como uma página inicial 404 “Página não encontrada”, coletando informações sobre alvos potenciais por meio de serviços legítimos, como o VirusTotal, e verificando metadados relacionados ao Amazon Web Services como um caminho ao roubo de credenciais de desenvolvedores, afirmou a empresa de gerenciamento de Internet Akamai em uma análise publicada em 22 de novembro. Outros web shells foram implantados pelas gangues de ransomware Cl0p e C3RB3R, esta última que explorou servidores que executavam o servidor corporativo Atlassian Confluence em uma campanha de exploração em massa no início deste mês.
Os web shells tornaram-se uma forma fácil de usar para emitir comandos para servidores comprometidos, à medida que os invasores visam cada vez mais os recursos da nuvem, afirma Maxim Zavodchik, diretor de pesquisa de ameaças da Akamai.
“Hoje, a superfície de ataque que as aplicações Web – e não apenas as APIs – permitem é muito grande”, diz ele. “Portanto, quando você estiver explorando uma vulnerabilidade da Web, o próximo passo mais fácil será implantar uma plataforma da Web – um implante, algo que não seja binário, mas que fale a mesma linguagem do servidor da Web.”
Akamai se concentrou no WSO-NG após seu uso em uma campanha massiva segmentando lojas de comércio eletrônico Magento 2, mas outros grupos usam shells da Web diferentes. O grupo de ransomware Cl0p, por exemplo, abandonou os shells da Web DEWMODE e LEMURLOOT, respectivamente, após explorar vulnerabilidades no Kiteworks Accellion FTA em 2020 e no serviço gerenciado de transferência de arquivos MOVEit da Progress Software em maio, de acordo com uma análise de junho de 2023 da empresa de redes F5.
Em 2021, a Microsoft observou que o uso de web shells cresceu dramaticamente, com a empresa vendo quase o dobro de encontros de web shells em servidores monitorados em comparação com o ano anterior, a empresa afirmou em uma análise. Dados mais recentes não estão disponíveis.
“Os web shells permitem que os invasores executem comandos em servidores para roubar dados ou usar o servidor como plataforma de lançamento para outras atividades, como roubo de credenciais, movimentação lateral, implantação de cargas adicionais ou atividades práticas no teclado, ao mesmo tempo que permitem que os invasores persistirem em uma organização afetada”, afirmou a Microsoft em sua análise.
Furtivo e Anônimo
Um dos motivos pelos quais os invasores adotaram os shells da Web é sua capacidade de permanecer fora do radar. Web shells são difíceis de detectar com técnicas de análise estática, porque os arquivos e o código são muito fáceis de modificar. Além disso, o tráfego de shell da Web – porque é apenas HTTP ou HTTPS – se integra perfeitamente, dificultando a detecção com análise de tráfego, diz Zavodchik da Akamai.
“Eles se comunicam nas mesmas portas e é apenas mais uma página do site”, diz ele. “Não é como o malware clássico que abre a conexão do servidor para o invasor. O invasor apenas navega no site. Não há conexão maliciosa, portanto, nenhuma conexão anômala vai do servidor para o invasor.”
Além disso, como existem tantos shells da Web disponíveis no mercado, os invasores podem usá-los sem avisar os defensores sobre sua identidade. O web shell WSO-NG, por exemplo, está disponível no GitHub. E o Kali Linux é de código aberto; é uma distribuição Linux focada em fornecer ferramentas fáceis de usar para equipes vermelhas e operações ofensivas, e fornece 14 shells da Web diferentes, dando aos testadores de penetração a capacidade de fazer upload e download de arquivos, executar comandos e criar e consultar bancos de dados e arquivos.
“Quando os agentes de ameaças APT… passam de implantes binários especialmente adaptados para web shells – sejam seus próprios web shells ou alguns web shells genéricos – ninguém poderia atribuir esses fatores a grupos específicos”, diz Zavodchik.
Defenda-se com vigilância suspeita
As melhores defesas são monitorar o tráfego da Web em busca de padrões suspeitos, parâmetros de URL anômalos e URLs e endereços IP desconhecidos. Verificar a integridade dos servidores também é uma tática defensiva importante, escreveu Malcolm Heath, pesquisador sênior de ameaças da F5 Networks, em um post de junho sobre shells da Web.
“O monitoramento do conteúdo do diretório também é uma boa abordagem, e existem alguns programas que podem detectar alterações nos diretórios monitorados imediatamente e reverter as alterações automaticamente”, afirmou a empresa. “Além disso, algumas ferramentas defensivas permitem a detecção de criação de processos anômalos.”
Outros métodos incluem focar na detecção do acesso inicial e na implantação de um Web Shell. Os firewalls de aplicativos da Web (WAFs), com sua capacidade de observar os fluxos de tráfego, também são medidas defensivas sólidas.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :é
- :não
- 14
- 2020
- 2021
- 2023
- 7
- a
- habilidade
- Sobre
- Acesso
- Segundo
- atividades
- atividade
- atores
- Adição
- Adicional
- Adicionalmente
- endereços
- afetado
- Depois de
- permitir
- Permitindo
- permite
- tb
- Amazon
- Amazon Web Services
- an
- análise
- e
- Outro
- APIs
- Aplicação
- aplicações
- abordagem
- APT
- arquivo
- SOMOS
- AS
- At
- ataque
- automaticamente
- disponível
- em caminho duplo
- BE
- Porque
- tornam-se
- sido
- MELHOR
- misturas
- mas a
- by
- Campanha
- CAN
- Alterações
- clássico
- Na nuvem
- código
- comum
- comunicar
- Empresa
- comparado
- Comprometido
- confluência
- da conexão
- Coneções
- conteúdo
- poderia
- Criar
- criação
- CREDENCIAL
- Credenciais
- dados,
- bases de dados
- Defensores
- defensiva
- implantar
- implantado
- desenvolvimento
- descobrir
- Detecção
- desenvolvedores
- diferente
- Diretor
- diretórios
- distribuição
- duplo
- download
- dramaticamente
- desistiu
- e-commerce,
- Mais cedo
- maneira mais fácil é
- fácil
- fácil de usar
- ou
- Empreendimento
- exemplo
- executar
- existir
- especialistas
- exploração
- exploradas
- explorando
- fatores
- Envie o
- Arquivos
- firewalls
- Empresa
- Fluxos
- focado
- focando
- seguinte
- Escolha
- encontrado
- da
- Ganho
- Gangs
- coleta
- GitHub
- Dando
- Go
- Bom estado, com sinais de uso
- Grupo
- Do grupo
- crescido
- tinha
- Queijos duros
- Ter
- he
- http
- HTTPS
- Identidade
- imediatamente
- in
- incluir
- cada vez mais
- INFORMAÇÕES
- do estado inicial,
- instância
- integridade
- Interface
- Internet
- IP
- Endereços IP
- emitem
- Emissão
- IT
- ESTÁ
- jpg
- Junho
- apenas por
- Chave
- conhecido
- língua
- grande
- lançamento
- legítimo
- como
- linux
- entrar
- olhar
- Fazendo
- malwares
- gerenciados
- de grupos
- muitos
- Massa
- maciço
- máximo
- Posso..
- medidas
- metadados
- métodos
- Microsoft
- modificar
- monitorados
- monitoração
- Mês
- mais
- Além disso
- mover
- movimento
- quase
- networking
- redes
- Próximo
- não
- notado
- novembro
- of
- WOW!
- ofensivo
- on
- ONE
- aberto
- open source
- Operações
- or
- organização
- Outros
- próprio
- caminho
- página
- parâmetros
- caminho
- padrões
- penetração
- persistência
- plataforma
- platão
- Inteligência de Dados Platão
- PlatãoData
- Popular
- portas
- Publique
- publicado
- potencial
- Prévio
- processo
- Programas
- Progresso
- fornece
- fornecendo
- radar
- ransomware
- RE
- clientes
- razão
- recentemente
- recentemente
- Vermelho
- relacionado
- pesquisa
- investigador
- Recursos
- respectivamente
- certo
- Rolo
- Execute
- corrida
- s
- mesmo
- dizer
- diz
- exploração
- visto
- visto
- senior
- servidor
- Servidores
- serviço
- Serviços
- concha
- local
- So
- Software
- sólido
- alguns
- algo
- sofisticação
- fonte
- especialmente
- específico
- estabelecido
- estático
- ficar
- Stealth
- Passo
- tal
- superfície
- suspeito
- adaptados
- tomado
- negociações
- Target
- tem como alvo
- equipes
- técnicas
- testadores
- que
- A
- roubo
- deles
- Eles
- Lá.
- deles
- isto
- aqueles
- ameaça
- atores de ameaças
- Através da
- para
- hoje
- ferramenta
- ferramentas
- tráfego
- transferência
- tipo
- para
- desconhecido
- URL
- usar
- verificação
- vulnerabilidades
- vulnerabilidade
- foi
- Caminho..
- web
- Aplicativo da Web
- Aplicativos da web
- servidor web
- serviços web
- Tráfego na Web
- Site
- quando
- qual
- enquanto
- precisarão
- de
- sem
- escreveu
- ano
- Vocês
- zefirnet