Shell web

Interfaz que permite el acceso remoto a un servidor web

Un web shell es una interfaz similar a un shell que permite acceder de forma remota a un servidor web , a menudo con el fin de realizar ciberataques . ^[1] Un web shell es único porque se utiliza un navegador web para interactuar con él. ^{[2] [3]}

Un shell web se puede programar en cualquier lenguaje de programación que sea compatible con un servidor. Los shells web se escriben más comúnmente en PHP debido al uso generalizado de PHP para aplicaciones web . Aunque también se utilizan scripts de shell de Active Server Pages , ASP.NET , Python , Perl , Ruby y Unix . ^{[1] [2] [3]}

Mediante el uso de herramientas de monitoreo de red , un atacante puede encontrar vulnerabilidades que potencialmente podrían permitir la entrega de un shell web. Estas vulnerabilidades suelen estar presentes en aplicaciones que se ejecutan en un servidor web. ^[2]

Un atacante puede usar un shell web para emitir comandos de shell, realizar una escalada de privilegios en el servidor web y la capacidad de cargar , eliminar , descargar y ejecutar archivos hacia y desde el servidor web. ^[2]

Uso general

Los shells web se utilizan en ataques principalmente porque son multipropósito y difíciles de detectar. ^[4] Se utilizan comúnmente para:

• Robo de datos ^[4]
• Infectar a los visitantes del sitio web ( ataques de abrevadero ) ^[5]
• Desfiguración de sitios web mediante la modificación de archivos con intenciones maliciosas
• Lanzar ataques distribuidos de denegación de servicio ( DDoS ) ^[2]
• Para retransmitir comandos dentro de la red a la que no se puede acceder a través de Internet ^[2]
• Para utilizar como base de comando y control , por ejemplo como un bot en un sistema botnet o de manera de comprometer la seguridad de redes externas adicionales. ^[2]

Los web shells permiten a los piratas informáticos robar información, corromper datos y cargar malware que son más dañinos para un sistema. El problema se agrava cada vez más cuando los piratas informáticos utilizan servidores comprometidos para infiltrarse en un sistema y poner en peligro otras máquinas. Los web shells también son una forma en la que individuos maliciosos atacan a una variedad de industrias, incluidas las gubernamentales, financieras y de defensa a través del ciberespionaje. Uno de los web shells más conocidos que se utilizan de esta manera se conoce como “ China Chopper ”. ^[6]

Entrega de webshells

Los shells web se instalan a través de vulnerabilidades en la aplicación web o una configuración de seguridad débil del servidor, incluidas las siguientes: ^{[2] [4]}

• Inyección SQL ;
• Vulnerabilidades en aplicaciones y servicios (por ejemplo, software de servidor web como NGINX o aplicaciones de sistemas de gestión de contenido como WordPress ); ^{[7] [8]}
• Vulnerabilidades en el procesamiento y carga de archivos, que pueden mitigarse, por ejemplo, limitando los tipos de archivos que se pueden cargar; ^[8]
• Vulnerabilidades de inclusión remota de archivos (RFI) e inclusión local de archivos (LFI);
• Ejecución remota de código ;
• Interfaces de administración expuestas; ^[2]

Un atacante también puede modificar ( falsificar ) el Content-Typeencabezado que enviará en una carga de archivo para evitar una validación de archivo incorrecta (validación mediante el tipo MIME enviado por el cliente), lo que dará como resultado una carga exitosa del shell del atacante.

Ejemplo

El siguiente es un ejemplo simple de un shell web escrito en PHP que ejecuta y genera el resultado de un comando de shell:

<?= `$_GET[x]` ?>

Suponiendo que el nombre del archivo es , a continuación se muestra example.phpun ejemplo que generaría el contenido del archivo:/etc/passwd

https://example.com/example.php?x=cat%20%2Fetc%2Fpasswd

La solicitud anterior tomará el valor del xparámetro de la cadena de consulta y enviará el siguiente comando de shell:

gato  /etc/passwd

Esto podría haberse evitado si las funciones de shell de PHP estuvieran deshabilitadas para que no se puedan ejecutar comandos de shell arbitrarios desde PHP.

Prevención y mitigación

Un shell web se suele instalar aprovechando vulnerabilidades presentes en el software del servidor web. Por eso es importante eliminar estas vulnerabilidades para evitar el riesgo potencial de que un servidor web se vea comprometido.

Las siguientes son medidas de seguridad para evitar la instalación de un shell web: ^{[2] [3]}

• Actualice periódicamente las aplicaciones y el sistema operativo del servidor host para garantizar la inmunidad ante errores conocidos.
• Implementación de una zona desmilitarizada (DMZ) entre los servidores web y las redes internas
• Configuración segura del servidor web ^[2]
• Cierre o bloqueo de puertos y servicios que no se utilizan ^[2]
• Uso de la validación de datos de entrada del usuario para limitar las vulnerabilidades de inclusión de archivos locales y remotos ^[2]
• Utilice un servicio de proxy inverso para restringir las URL administrativas a las que se sabe que son legítimas ^[2]
• Análisis de vulnerabilidades frecuentes para detectar áreas de riesgo y realizar análisis regulares utilizando software de seguridad web (esto no evita los ataques de día cero ^[2] )
• Implementar un firewall ^[2]
• Deshabilitar la exploración de directorios ^{[ cita requerida ]}
• No utilizar contraseñas predeterminadas ^[2]

Detección

Los web shells se pueden modificar fácilmente, por lo que no es fácil detectarlos y el software antivirus a menudo no puede detectarlos. ^{[2] [9]}

Los siguientes son indicadores comunes de que hay un shell web presente en un servidor web: ^{[2] [3]}

• Uso anormalmente alto del servidor web (debido a la intensa carga y descarga de archivos por parte del atacante); ^{[2] [9]}
• Archivos con una marca de tiempo anormal (por ejemplo, más reciente que la fecha de la última modificación); ^[9]
• Archivos desconocidos en un servidor web;
• Archivos que tienen referencias dudosas, por ejemplo, cmd.exeo eval;
• Conexiones desconocidas en los registros del servidor web

Por ejemplo, un archivo que genera tráfico sospechoso (por ejemplo, un archivo PNG que solicita parámetros POST ). ^{[2] [10] [11] [12]} Inicios de sesión dudosos desde servidores DMZ a subredes internas y viceversa. ^[2]

Los shells web también pueden contener un formulario de inicio de sesión, que a menudo está disfrazado como una página de error . ^{[2] [13] [14] [15]}

Mediante el uso de web shells, los adversarios pueden modificar el archivo .htaccess (en servidores que ejecutan el software Apache HTTP Server ) en servidores web para redirigir las solicitudes de los motores de búsqueda a la página web con malware o spam . A menudo, los web shells detectan el agente de usuario y el contenido presentado a la araña del motor de búsqueda es diferente del presentado al navegador del usuario. Para encontrar un web shell, generalmente se requiere un cambio de agente de usuario del robot rastreador. Una vez que se identifica el web shell, se puede eliminar fácilmente. ^[2]

El análisis del registro del servidor web podría especificar la ubicación exacta del shell web. Los usuarios/visitantes legítimos suelen tener diferentes agentes de usuario y referentes ; por otro lado, un shell web normalmente solo es visitado por el atacante, por lo tanto, tiene muy pocas variantes de cadenas de agente de usuario. ^[2]

Véase también

• Puerta trasera (informática)
• Guerra cibernética
• Seguridad en Internet
• Seguridad de la red
• Picadora de porcelana
• Privacidad

Referencias

1. "¿Cómo se pueden utilizar los shells web para explotar herramientas y servidores de seguridad?". SearchSecurity . Archivado desde el original el 28 de marzo de 2019. Consultado el 21 de diciembre de 2018 .
2. Departamento de Seguridad Nacional de Estados Unidos (9 de agosto de 2017). «Web Shells – Threat Awareness and Guidance» (Conocimiento y orientación sobre amenazas de los Web Shell). www.us-cert.gov . Archivado desde el original el 13 de enero de 2019. Consultado el 20 de diciembre de 2018 . Este artículo incorpora texto de esta fuente, que se encuentra en el dominio público .
3. admin (3 de agosto de 2017). «¿Qué es un Web shell?». malware.expert . Archivado desde el original el 13 de enero de 2019 . Consultado el 20 de diciembre de 2018 .
4. «Actividad cibernética del gobierno ruso dirigida a los sectores de energía y otras infraestructuras críticas – US-CERT». www.us-cert.gov . 16 de marzo de 2018. Archivado desde el original el 20 de diciembre de 2018 . Consultado el 20 de diciembre de 2018 .
5. Coorganizador, Makis MourelatosIngeniero de seguridad de WordPress en FixMyWPWC Athens 2016; Soporte, WP; Aficionado, Seguridad; Kitesurfer, Wannabe (16 de octubre de 2017). "La guía definitiva sobre ataques de puerta trasera: ¿Qué son las puertas traseras de WebShell?". fixmywp.com . Archivado desde el original el 13 de enero de 2019. Consultado el 20 de diciembre de 2018 .{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
6. Hannousse, Abdelhakim; Yahiouche, Salima (1 de septiembre de 2021). "Manejo de ataques webshell: un mapeo y estudio sistemático". Computers & Security . 108 : 102366. doi :10.1016/j.cose.2021.102366. ISSN  0167-4048.
7. "¿Tiene WordPress? Aumentan los ataques PHP C99 Webshell". 14 de abril de 2016. Archivado desde el original el 29 de diciembre de 2018. Consultado el 21 de diciembre de 2018 .
8. "La violación de datos de Equifax era 'totalmente evitable' si se hubieran empleado medidas de seguridad básicas, afirma un informe de la Cámara de Representantes". 10 de diciembre de 2018. Archivado desde el original el 20 de diciembre de 2018 . Consultado el 21 de diciembre de 2018 .
9. «Desglosando el China Chopper Web Shell - Parte I «Desglosando el China Chopper Web Shell - Parte I». FireEye . Archivado desde el original el 13 de enero de 2019 . Consultado el 20 de diciembre de 2018 .
10. "Sistemas de detección y prevención de intrusiones". Archivado desde el original el 13 de enero de 2019. Consultado el 22 de diciembre de 2018 .
11. LightCyber, Kasey Cross, gerente sénior de productos (16 de junio de 2016). «Cinco señales de que un atacante ya está en su red». Network World . Archivado desde el original el 13 de enero de 2019. Consultado el 22 de diciembre de 2018 .{{cite web}}: CS1 maint: varios nombres: lista de autores ( enlace )
12. "Análisis de tráfico para la seguridad de la red: dos enfoques para ir más allá de los datos de flujo de red". 15 de septiembre de 2016. Archivado desde el original el 14 de noviembre de 2016. Consultado el 22 de diciembre de 2018 .
13. "Hackers ocultan inicios de sesión de Web Shell en páginas de error HTTP falsas". BleepingComputer . Archivado desde el original el 26 de julio de 2018 . Consultado el 21 de diciembre de 2018 .
14. "Los piratas informáticos ocultan inicios de sesión de Web Shell en páginas de error HTTP falsas". ThreatRavens . 24 de julio de 2018. Archivado desde el original el 13 de enero de 2019 . Consultado el 17 de febrero de 2019 .
15. "Los piratas informáticos ocultan inicios de sesión de Web Shell en páginas de error HTTP falsas". cyware.com . Archivado desde el original el 13 de enero de 2019 . Consultado el 22 de diciembre de 2018 .