Aumento Alarmante: Duplicación de Web Shells en el Ecosistema Microsoft

Microsoft mencionó que está viendo alrededor de 140.000 web shells al mes, frente a aproximadamente 77.000 en agosto pasado. La cantidad de shells web maliciosos instalados en servidores web casi se ha duplicado desde el año pasado en agosto de 2020.

El número ha aumentado como resultado de un cambio en la forma en que los piratas informáticos ven los shells web. Alguna vez se consideró una herramienta para que los script kiddies desfiguraran sitios web y la herramienta de referencia de los operadores de botnet DDoS. Ahora los web shells son parte del arsenal de bandas de ransomware y piratas informáticos de estados nacionales por igual y son herramientas cruciales utilizadas en intrusiones complejas.

Las razones por las que se han vuelto tan populares es su versatilidad y el acceso que brindan a los servidores pirateados.

Los shells web se pueden escribir en casi cualquier lenguaje de programación que se ejecute en un servidor web, como PHP, ASP, JSP o JS. Además, se pueden ocultar fácilmente dentro del código fuente de un sitio web. Esto hace que detectarlos sea una operación difícil, que a menudo implica un análisis manual por parte de un operador humano.

Asimismo, proporcionan a los piratas informáticos una forma sencilla de ejecutar comandos en un servidor pirateado a través de una interfaz gráfica o de línea de comandos. Permitiendo a los atacantes una forma sencilla de escalar los ataques.

Los shells web son más frecuentes a medida que se ponen en línea más servidores

Conforme el espacio de TI corporativo se ha movido hacia entornos de nube híbrida, el número de empresas que ejecutan servidores web ha aumentado en los últimos años. Por lo general, los servidores públicos a menudo tienen conexiones directas a redes internas.

Los atacantes parecen haber descubierto este cambio en la estructura de las redes de TI corporativas y han aumentado sus ataques a los sistemas públicos.

Los shells web ahora juegan un papel crucial en sus ataques. Proporcionan una forma de controlar el servidor pirateado y luego orquestar un pivote a la red interna de un objetivo.

La Agencia de Seguridad Nacional de EE. UU. advirtió sobre esto en abril de 2020 cuando publicó  una lista de 25 vulnerabilidades  que a menudo se usaban para instalar shells web. El informe de la NSA advirtió también sobre su uso dentro de las redes internas, donde se utilizan como proxies para saltar a los sistemas de cara al público.

Microsoft exhorta a las empresas a volver a priorizar su enfoque para lidiar con shells web. Como formas de mantener las redes seguras, el fabricante del sistema operativo recomienda algunas acciones básicas:

• Parchar los sistemas de cara al público. La mayoría de los shells web se instalan después de que los atacantes explotan las vulnerabilidades no parcheadas.
• Extender las protecciones antivirus a los servidores web, no solo a las estaciones de trabajo de los colaboradores.
• Segmentación de la red para limitar el daño de un servidor infectado a una pequeña variedad de sistemas y no a toda la red.
• Auditar y revisar los registros de los servidores web con frecuencia, especialmente para los sistemas públicos, que son más vulnerables a los escaneos y los ataques.
• Practicar una buena higiene de credenciales. Limitar el uso de cuentas con privilegios de nivel de administrador local o de dominio.
• Verificar el firewall perimetral y proxy para restringir el acceso innecesario a los servicios, incluido el acceso a los servicios a través de puertos no estándar.

Fuente: ZDNet

Para más información ingresar aquí.