Una amenaza de ciberseguridad emergente es Web Shell, una herramienta que los delincuentes emplean para interactuar y mantener acceso a un sistema después de comprometerlo. Esto se debe a que toma la forma de un web script (fragmento de código), el cual se carga en un sistema vulnerable y se emplea para interactuar con el SO subyacente.
“Actualmente, la complejidad de los sistemas, especialmente los sitios de internet que pueden incluir software de terceros y bibliotecas, que a su vez realizan conexiones de salida. Esto significa que los scripts maliciosos que los delincuentes usan para el acceso inicial se pasan por alto fácilmente” compartió Yair Lelis, director de Ciberseguridad en Cisco México.
Después del acceso inicial, los scripts web maliciosos buscan aprovechar las técnicas de explotación o son usados para llevar a cabo más ataques. Así pueden buscar las vulnerabilidades en un sistema para encontrar los mejores lugares que ayuden a su objetivo, dichas flaquezas pueden estar en el sistema de administración de contenidos del website.
Cuatro recomendaciones de Cisco Talos para la prevención de Web Shell
1-Actualizar y aplicar parches cotidianamente al software y sistemas para identificar y corregir vulnerabilidades o configuraciones incorrectas en aplicaciones y servidores web
2-Realizar un “hardening” general del sistema, incluida la eliminación de servicios o protocolos cuando sean innecesarios y prestar atención a los sistemas expuestos a internet
3-Deshabilitar funciones php innecesarias, tales como “php.in” como eval(), exec(), peopen(), proc_open() y passthru(), con ello se consolida la protección en las organizaciones
4-Auditar y revisar frecuentemente los registros de los servidores web para detectar actividades inusuales o anómalas para monitorear amenazas de manera oportuna
El objetivo es establecer un punto ancla para obtener acceso constante al sistema, es construir una puerta trasera que nadie sabe que existe, así el atacante tiene la llave y puede entrar tantas veces como quiera. Por ello, Cisco Talos, la unidad de ciberinteligencia de la firma, ha visto ejecutar remotamente códigos y hacer movimientos laterales en la red.
“Es importante mencionar que un Web Shell deja huellas en la escena del crimen, por ello un sistema de prevención ayuda a detectar si el atacante ha usado una herramienta de este tipo para obtener acceso remoto. Así, una solución que proporcione una visibilidad de la red generalizada y análisis de seguridad ofrece una protección avanzada” agregó Lelis.
En el reporte de incidentes de Cisco Talos del primer trimestre de 2023, la explotación de aplicaciones públicas es la principal técnica de acceso inicial y el aumento de la actividad de Web Shell, es la cuarta amenaza detectada desde principio de año, de hecho posiblemente contribuyó a esta observación significativa, un ejemplo de Web Shell es China Chopper.