La Agencia de Seguridad Nacional de los Estados Unidos (NSA) y su equivalente australiana, la Dirección de Señales de Australia (ASD), han publicado una serie de directrices para ayudar a las empresas a evitar un tipo de ataque común: los exploits web shell.
Un web shell es un programa malicioso, a menudo escrito en un lenguaje de scripts como PHP o Java Server Pages, que da a un atacante acceso remoto a un sistema y le permite ejecutar funciones en el servidor web de la víctima. Los atacantes piratean las aplicaciones web para poder instalar y ejecutar estos archivos en el servidor, lo que les permite robar datos, lanzar ataques a los visitantes del sitio o utilizar el servidor web como punto de entrada para penetrar más en la infraestructura de la víctima.
Los atacantes a menudo disfrazan los web shells como archivos de aspecto inocuo que podrían pasar por un componente de la aplicación web, permitiéndoles ejecutar comandos maliciosos de forma discreta y acechar sin ser detectados durante mucho tiempo a menos que un administrador esté prestando atención. La NSA advirtió:
El malware web shell ha sido una amenaza durante años y continúa evadiendo la detección de la mayoría de las herramientas de seguridad. Los ciberdelincuentes aprovechan cada vez más este tipo de malware para obtener un acceso constante a las redes comprometidas, al tiempo que utilizan comunicaciones que se mezclan bien con el tráfico legítimo. Esto significa que los atacantes pueden enviar comandos de sistema a través de HTTPS o enrutar comandos a otros sistemas, incluso a sus redes internas, que pueden aparecer como tráfico de red normal.
Las directrices enumeran varios CVE que son vectores de ataque comunes para la instalación de web shells, apuntando a productos de Microsoft (SharePoint y Exchange), Atlassian, Progress, Zoho y Adobe (ColdFusion).
El documento aborda varias capas de defensa. La primera consiste en la detección de los web shells maliciosos. Sugiere varias técnicas, una de las cuales es comparar los archivos de las aplicaciones web actuales con los que se sabe que son legítimos. Para ello, se tomaría una copia de la aplicación web recién instalada, con las actualizaciones necesarias aplicadas, y luego se utilizarían periódicamente herramientas de comparación de archivos (WinDiff para los sistemas Windows o LinuxDiff para los sistemas Linux) para compararla con las versiones actuales. La NSA también proporciona un script de PowerShell para esto.
También aconseja estar atentos a actividades poco comunes como la ejecución de comandos de enumeración de red que no tienen cabida en la mayoría de las aplicaciones web legítimas. Otras cosas a las que hay que estar atentos incluyen respuestas grandes a una aplicación web que podrían indicar exfiltración de datos, horas de acceso fuera de las horas punta, u horas de acceso desde regiones inusuales. Sin embargo, estas señales a menudo generarán falsos positivos, advierte.
La segunda capa de defensa se centra en la prevención de los web shells maliciosos y el daño que pueden hacer a sus sistemas.
El documento sugiere que se protejan los propios servidores web contra el acceso no autorizado bloqueando o restringiendo el acceso a los puertos y servicios apropiados. Otra orientación se centra en evitar que los atacantes utilicen un shell instalado para causar estragos en su red. Esto incluye el uso de los principios de mínimo privilegio al asignar permisos a las aplicaciones web y/o monitorear la integridad de los directorios y archivos accesibles a través de la web, ya sea bloqueando o alertando a los administradores de los cambios.
Otra recomendación consiste en segregar las redes de modo que los servidores web con acceso a Internet no puedan acceder a partes sensibles de su red. Esto puede ser difícil si su aplicación web necesita acceder a los registros de los clientes de los sistemas de producción, pero al menos podría evitar que los atacantes penetren más profundamente en su red.
Por último, el documento analiza la respuesta y la recuperación después de un ataque. Después de detectar un web shell, utiliza la captura de paquetes (PCAP) para averiguar qué estaba haciendo dentro de tu red, dice.
El documento, junto con un repositorio GitHub de la NSA relacionado, también incluye herramientas y reglas del sistema de prevención de intrusos (ISP) para ayudar a implementar algunas de estas técnicas anti web shell. El Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) también publica un conjunto de reglas básicas del sistema de prevención de intrusos (ISP) que la gente debería aplicar, añade el documento.
Dejar un comentario