Microsoft está experimentando un gran aumento en el uso del shell web

0
9

imágenes falsas

El personal de seguridad de Microsoft está experimentando un fuerte aumento en el uso de web shells, los programas ligeros que instalan los piratas informáticos para que puedan profundizar en los sitios web comprometidos.

El número promedio de shells web instalados desde agosto de 2020 hasta enero de este año fue de 144,000, casi el doble de los mismos meses en 2019 y 2020. El pico representa una aceleración en el crecimiento que los propios investigadores de Microsoft vieron durante el año pasado.

Microsoft está experimentando un gran aumento en el uso del shell web 1

Microsoft

Una navaja suiza para hackers

El crecimiento es una señal de cuán útiles y difíciles pueden ser de detectar estos programas simples. Un shell web es una interfaz que permite a los piratas informáticos ejecutar comandos estándar en servidores web una vez que los servidores se han visto comprometidos. Los shells web se crean utilizando lenguajes de programación basados ​​en web como PHP, JSP o ASP. Las interfaces de comando funcionan de manera muy similar a los navegadores.

Una vez instalados correctamente, los shells web permiten a los piratas informáticos remotos hacer la mayoría de las cosas que pueden hacer los administradores legítimos. Los piratas informáticos pueden usarlos para ejecutar comandos que roban datos, ejecutan código malicioso y entregan información del sistema que permite un mayor movimiento lateral en una red comprometida. Los programas también pueden proporcionar un medio persistente de acceso por la puerta trasera que, a pesar de su eficacia, sigue siendo sorprendentemente difícil de detectar.

En una publicación de blog publicada el jueves, los miembros del equipo de detección y respuesta de Microsoft y el equipo de investigación de Microsoft 365 Defender escribieron:

Una vez instalados en un servidor, los web shells son uno de los medios más efectivos de persistencia en una empresa. A menudo vemos casos en los que los shells web se utilizan únicamente como mecanismo de persistencia. Los shells web garantizan la existencia de una puerta trasera en una red comprometida, porque un atacante abandona una planta maliciosa después de establecer un punto de apoyo inicial en un servidor. Si no se detectan, los shells web brindan una forma para que los atacantes continúen recopilando datos y monetizando las redes a las que tienen acceso.

La recuperación del compromiso no puede ser eficaz y duradera sin identificar y eliminar los mecanismos de persistencia del agresor. Y aunque reconstruir un único sistema comprometido es una gran solución, restaurar los activos existentes es la única opción viable para muchos. Por lo tanto, encontrar y eliminar todas las puertas traseras es un aspecto fundamental para restaurar los compromisos.

Estudios de caso

A principios de julio pasado, el marco de piratería Metasploit agregó un módulo que explotaba una vulnerabilidad crítica en Big-IP Advanced Delivery Controller, un dispositivo fabricado por F5 que generalmente se coloca entre un firewall perimetral y una aplicación web para administrar el equilibrio de carga y otras actividades. Un día después, los investigadores de Microsoft empezaron a ver que los piratas informáticos utilizaban el exploit para instalar shells web en servidores vulnerables.

Inicialmente, los piratas informáticos usaban shells web para instalar malware que aprovechaba la potencia informática de los servidores para extraer criptomonedas. Menos de una semana después, los investigadores vieron a los piratas informáticos explotar la vulnerabilidad Big-IP para instalar shells web para una variedad mucho más amplia de usos en servidores que pertenecen tanto al gobierno de EE. UU. Como a la industria privada.

En otro caso el año pasado, Microsoft dijo que realizó una respuesta al incidente después de que una organización del sector público descubriera que los piratas informáticos habían instalado un shell web en uno de sus servidores conectados a Internet. Los piratas informáticos habían «cargado un shell web en varias carpetas del servidor web, lo que provocó el consiguiente compromiso de las cuentas de servicio y las cuentas de administración de dominio», escribieron los investigadores de Microsoft. «Esto permitió a los atacantes realizar reconocimientos utilizando net.exe, busque sistemas de destino adicionales utilizando nbtstat.exey finalmente moverse hacia los lados usando PsExec. «

Luego, los piratas informáticos instalaron una puerta trasera en un servidor de Outlook que interceptaba todos los correos electrónicos entrantes y salientes, realizaban más reconocimientos y descargaban otras cargas útiles maliciosas. Entre otras cosas, el pirata informático permitió a los piratas informáticos enviar correos electrónicos especiales que la puerta trasera interpretó como comandos.

Aguja en un pajar

Debido a que utilizan lenguajes de desarrollo web estándar, los shells web pueden ser difíciles de detectar. Además de la dificultad, los web shells tienen más medios para ejecutar comandos. Los atacantes también pueden ocultar comandos dentro de cadenas de agentes de usuario y parámetros que se pasan durante un intercambio entre un atacante y el sitio web comprometido. Como si eso no fuera suficiente, los shells web se pueden ocultar dentro de archivos multimedia u otros formatos de archivo no ejecutables.

«Cuando este archivo se carga y analiza en una estación de trabajo, la foto es inofensiva», escribieron los investigadores de Microsoft. “Pero cuando un navegador web solicita a un servidor este archivo, el código malicioso se ejecuta en el lado del servidor. Estos desafíos en la detección de shells web contribuyen a su creciente popularidad como herramienta de ataque «.

La publicación del jueves enumera una serie de pasos que los administradores pueden tomar para evitar que los web shells lleguen a un servidor. Incluyen:

  • Identifique y corrija vulnerabilidades o configuraciones incorrectas en aplicaciones web y servidores web. Utilice Threat and Vulnerability Management para descubrir y corregir estas debilidades. Implemente las últimas actualizaciones de seguridad a medida que estén disponibles.
  • Implemente una segmentación adecuada de la red perimetral, de modo que un servidor web comprometido no comprometa la red corporativa.
  • Habilite la protección antivirus en los servidores web. Habilite la protección proporcionada en la nube para obtener las últimas defensas contra amenazas nuevas y emergentes. Los usuarios solo deben poder cargar archivos en directorios que el antivirus pueda escanear y configurar para no permitir la ejecución de scripts o del lado del servidor.
  • Compruebe y revise los registros del servidor web con frecuencia. Sea consciente de cualquier sistema que exponga directamente a Internet.
  • Utiliza Firewall de Windows Defender, dispositivos de prevención de intrusiones y firewall de red para evitar la comunicación del servidor de comando y control entre los puntos finales siempre que sea posible, lo que limita el movimiento lateral y otras actividades de ataque.
  • Verifique su firewall y proxy perimetral para limitar el acceso innecesario a los servicios, incluido el acceso a los servicios a través de puertos no estándar.
  • Practique una buena higiene de credenciales. Restrinja el uso de cuentas con privilegios de administrador local o de dominio.

La Agencia de Seguridad Nacional ha publicado aquí herramientas que ayudan a los administradores a detectar y eliminar web shells de sus redes.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí