shell web

Interfaz que permite el acceso remoto a un servidor web.

Un web shell es una interfaz similar a un shell que permite acceder de forma remota a un servidor web , a menudo con fines de ciberataques . ^[1] Un shell web es único porque se utiliza un navegador web para interactuar con él. ^{[2] [3]}

Un shell web se puede programar en cualquier lenguaje de programación compatible con un servidor. Los shells web se escriben más comúnmente en PHP debido al uso generalizado de PHP para aplicaciones web . Aunque también se utilizan Active Server Pages , ASP.NET , Python , Perl , Ruby y Unix . ^{[1] [2] [3]}

Al utilizar herramientas de monitoreo de red , un atacante puede encontrar vulnerabilidades que potencialmente pueden permitir la entrega de un shell web. Estas vulnerabilidades suelen estar presentes en aplicaciones que se ejecutan en un servidor web. ^[2]

Un atacante puede utilizar un shell web para emitir comandos de shell, realizar una escalada de privilegios en el servidor web y tener la capacidad de cargar , eliminar , descargar y ejecutar archivos hacia y desde el servidor web. ^[2]

Uso general

Los web shells se utilizan en ataques principalmente porque son multipropósito y difíciles de detectar. ^[4] Se utilizan comúnmente para:

• Robo de datos ^[4]
• Infectar a los visitantes del sitio web ( ataques de abrevadero ) ^[5]
• Desfiguración del sitio web mediante la modificación de archivos con intenciones maliciosas
• Lanzar ataques distribuidos de denegación de servicio ( DDoS ) ^[2]
• Para transmitir comandos dentro de la red a la que no se puede acceder a través de Internet ^[2]
• Para utilizar como base de mando y control , por ejemplo como bot en un sistema de botnet o para comprometer la seguridad de redes externas adicionales. ^[2]

Los shells web brindan a los piratas informáticos la capacidad de robar información, corromper datos y cargar malwares que son más dañinos para un sistema. El problema se intensifica cada vez más cuando los piratas informáticos emplean servidores comprometidos para infiltrarse en un sistema y poner en peligro máquinas adicionales. Los web shells también son una forma en que individuos malintencionados se dirigen a una variedad de industrias, incluidas las gubernamentales, financieras y de defensa, a través del ciberespionaje. Uno de los shells web más conocidos utilizados de esta manera se conoce como " China Chopper ". ^[6]

Entrega de web shells

Los shells web se instalan a través de vulnerabilidades en la aplicación web o una configuración de seguridad débil del servidor, incluidas las siguientes: ^{[2] [4]}

• Inyección SQL ;
• Vulnerabilidades en aplicaciones y servicios (por ejemplo, software de servidor web como NGINX o aplicaciones de sistemas de gestión de contenidos como WordPress ); ^{[7] [8]}
• Vulnerabilidades de procesamiento y carga de archivos, que pueden mitigarse, por ejemplo, limitando los tipos de archivos que se pueden cargar; ^[8]
• Vulnerabilidades de inclusión remota de archivos (RFI) e inclusión de archivos locales (LFI);
• Ejecución remota de código ;
• Interfaces de administración expuestas; ^[2]

Un atacante también puede modificar ( falsificar ) el Content-Typeencabezado que enviará en la carga de un archivo para evitar la validación incorrecta del archivo (validación utilizando el tipo MIME enviado por el cliente), lo que resultará en una carga exitosa del shell del atacante.

Ejemplo

El siguiente es un ejemplo simple de un shell web escrito en PHP que ejecuta y genera el resultado de un comando de shell:

<?= `$_GET[x]` ?>

Suponiendo que el nombre del archivo es , a continuación se muestra example.phpun ejemplo que generaría el contenido del archivo:/etc/passwd

https://example.com/example.php?x=cat%20%2Fetc%2Fpasswd

La solicitud anterior tomará el valor del xparámetro de la cadena de consulta , enviando el siguiente comando de shell:

gato  /etc/contraseña

Esto podría haberse evitado si las funciones de shell de PHP estuvieran deshabilitadas para que no se puedan ejecutar comandos de shell arbitrarios desde PHP.

Prevención y mitigación

Por lo general, se instala un shell web aprovechando las vulnerabilidades presentes en el software del servidor web. Por eso es importante eliminar estas vulnerabilidades para evitar el riesgo potencial de un servidor web comprometido.

Las siguientes son medidas de seguridad para evitar la instalación de un web shell: ^{[2] [3]}

• Actualice periódicamente las aplicaciones y el sistema operativo del servidor host para garantizar la inmunidad frente a errores conocidos.
• Implementación de una zona desmilitarizada (DMZ) entre los servidores web y las redes internas
• Configuración segura del servidor web ^[2]
• Cerrar o bloquear puertos y servicios que no se utilizan ^[2]
• Uso de la validación de datos de entrada del usuario para limitar las vulnerabilidades de inclusión de archivos locales y remotos ^[2]
• Utilice un servicio de proxy inverso para restringir las URL administrativas a las legítimas conocidas ^[2]
• Análisis de vulnerabilidades frecuentes para detectar áreas de riesgo y realizar análisis periódicos utilizando software de seguridad web (esto no evita los ataques de día cero ^[2] )
• Implementar un firewall ^[2]
• Deshabilitar la navegación por directorios ^{[ cita necesaria ]}
• No usar contraseñas predeterminadas ^[2]

Detección

Los shells web se pueden modificar fácilmente, por lo que no es fácil detectarlos y el software antivirus a menudo no puede detectarlos. ^{[2] [9]}

Los siguientes son indicadores comunes de que un web shell está presente en un servidor web: ^{[2] [3]}

• Alto uso anormal del servidor web (debido a la gran cantidad de descargas y cargas realizadas por el atacante); ^{[2] [9]}
• Archivos con una marca de tiempo anormal (por ejemplo, más reciente que la fecha de la última modificación); ^[9]
• Archivos desconocidos en un servidor web;
• Archivos con referencias dudosas, por ejemplo, cmd.exeo eval;
• Conexiones desconocidas en los registros del servidor web

Por ejemplo, un archivo que genera tráfico sospechoso (por ejemplo, un archivo PNG que solicita parámetros POST ). ^{[2] [10] [11] [12]} Inicios de sesión dudosos desde servidores DMZ a subredes internas y viceversa. ^[2]

Los shells web también pueden contener un formulario de inicio de sesión, que a menudo se disfraza de página de error . ^{[2] [13] [14] [15]}

Usando web shells, los adversarios pueden modificar el archivo .htaccess (en servidores que ejecutan el software Apache HTTP Server ) en servidores web para redirigir las solicitudes de los motores de búsqueda a la página web con malware o spam . A menudo, los shells web detectan al agente de usuario y el contenido presentado al motor de búsqueda es diferente del presentado al navegador del usuario. Para encontrar un shell web, normalmente se requiere un cambio de agente de usuario del robot rastreador. Una vez que se identifica el shell web, se puede eliminar fácilmente. ^[2]

El análisis del registro del servidor web podría especificar la ubicación exacta del shell web. Los usuarios/visitantes legítimos generalmente tienen diferentes agentes de usuario y referentes ; por otro lado, un shell web generalmente solo es visitado por el atacante, por lo tanto, tiene muy pocas variantes de cadenas de agente de usuario. ^[2]

Ver también

• Puerta trasera (informática)
• Guerra cibernética
• Seguridad de Internet
• Seguridad de la red
• helicóptero chino
• Privacidad

Referencias

1. "¿Cómo se pueden utilizar los shells web para explotar servidores y herramientas de seguridad?". BuscarSeguridad . Archivado desde el original el 28 de marzo de 2019 . Consultado el 21 de diciembre de 2018 .
2. Departamento de Seguridad Nacional de EE. UU. (9 de agosto de 2017). "Web Shells: orientación y concienciación sobre amenazas". www.us-cert.gov . Archivado desde el original el 13 de enero de 2019 . Consultado el 20 de diciembre de 2018 . Este artículo incorpora texto de esta fuente, que se encuentra en el dominio público .
3. administrador abcd (3 de agosto de 2017). "¿Qué es un shell web?". malware.experto . Archivado desde el original el 13 de enero de 2019 . Consultado el 20 de diciembre de 2018 .
4. "Actividad cibernética del gobierno ruso dirigida a la energía y otros sectores de infraestructura crítica - US-CERT". www.us-cert.gov . 16 de marzo de 2018. Archivado desde el original el 20 de diciembre de 2018 . Consultado el 20 de diciembre de 2018 .
5. coorganizador, Makis MourelatosWordPress Security Engineer en FixMyWPWC Atenas 2016; Soporte, WP; Aficionado, Seguridad; Kitesurfista, aspirante (16 de octubre de 2017). "La guía definitiva sobre ataques de puerta trasera: ¿Qué son las puertas traseras de WebShell?". fixmywp.com . Archivado desde el original el 13 de enero de 2019 . Consultado el 20 de diciembre de 2018 .{{cite web}}: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )
6. Hannousse, Abdelhakim; Yahiouche, Salima (1 de septiembre de 2021). "Manejo de ataques webshell: un mapeo y una encuesta sistemáticos". Computadoras y seguridad . 108 : 102366. doi : 10.1016/j.cose.2021.102366. ISSN  0167-4048.
7. "¿Tienes WordPress? Los ataques PHP C99 Webshell aumentan". 14 de abril de 2016. Archivado desde el original el 29 de diciembre de 2018 . Consultado el 21 de diciembre de 2018 .
8. "La violación de Equifax fue 'completamente prevenible' si se hubieran utilizado medidas de seguridad básicas, dice el informe de la Cámara". 10 de diciembre de 2018. Archivado desde el original el 20 de diciembre de 2018 . Consultado el 21 de diciembre de 2018 .
9. "Rompiendo el caparazón web de China Chopper - Parte I« Rompiendo el caparazón web de China Chopper - Parte I". Ojo de fuego . Archivado desde el original el 13 de enero de 2019 . Consultado el 20 de diciembre de 2018 .
10. "Sistemas de prevención y detección de intrusiones". Archivado desde el original el 13 de enero de 2019 . Consultado el 22 de diciembre de 2018 .
11. LightCyber, Kasey Cross, gerente senior de productos (16 de junio de 2016). "Cinco señales de que un atacante ya está en su red". Mundo de la Red . Archivado desde el original el 13 de enero de 2019 . Consultado el 22 de diciembre de 2018 .{{cite web}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )
12. "Análisis de tráfico para la seguridad de la red: dos enfoques para ir más allá de los datos de flujo de la red". 15 de septiembre de 2016. Archivado desde el original el 14 de noviembre de 2016 . Consultado el 22 de diciembre de 2018 .
13. "Hackers que ocultan inicios de sesión de Web Shell en páginas de error HTTP falsas". Computadora que suena . Archivado desde el original el 26 de julio de 2018 . Consultado el 21 de diciembre de 2018 .
14. "Hackers que ocultan inicios de sesión de Web Shell en páginas de error HTTP falsas". AmenazaCuervos . 24 de julio de 2018. Archivado desde el original el 13 de enero de 2019 . Consultado el 17 de febrero de 2019 .
15. "Hackers que ocultan inicios de sesión de Web Shell en páginas de error HTTP falsas". cyware.com . Archivado desde el original el 13 de enero de 2019 . Consultado el 22 de diciembre de 2018 .