Microsoft dice que detecta 77,000 shells world-wide-web activos diariamente


msft-web-shells-encuentros.png

Imagen: Microsoft

En una publicación de blog site que promociona las capacidades de su plataforma de seguridad comercial, el Microsoft Defender ATP, Microsoft dijo que diariamente el equipo de seguridad de la compañía detecta y rastrea en promedio alrededor de 77,000 shells website activos, distribuidos en 46,000 servidores infectados.

Pero mientras el Publicación de blog site de Microsoft continúa promoviendo las capacidades de detección reconocidas por la industria de Defender ATP, la pepita en el content de advertising reciente de Microsoft son las estadísticas diarias de 77,000 y 46,000.

Estos dos números son asombrosos en términos de tamaño, y especialmente la cifra de 77,000, que es mucho más grande que cualquier informe anterior sobre la prevalencia de caparazón world wide web.

Por ejemplo, a principios de este mes Sucuri de GoDaddy informó sobre la limpieza de alrededor de 3.600 shells net de sitios internet pirateados durante todo el año pasado, en 2019, un número reducido por el recuento de detección diario de Microsoft.

¿Qué es un shell website?

Los números de Microsoft resaltan la prevalencia de estas herramientas en los arsenales de los piratas informáticos de hoy en día, donde los shells web se consideran imprescindibles para todos los actores de amenazas, desde grupos poco hacktivistas que desfiguran sitios web hasta grupos de ciberespionaje patrocinados por el estado.

Los shells world wide web son cruciales debido a sus funciones. Para los lectores ZDNet no técnicos que no han encontrado el término hasta hoy, un «shell web» se refiere a un programa malicioso o script que está instalado en un servidor pirateado.

Proporcionan una interfaz visible que los hackers pueden usar para interactuar con el servidor pirateado y su sistema de archivos. La mayoría de los shell world wide web contienen funciones básicas para renombrar, copiar, mover e incluso editar o cargar nuevos archivos en un servidor. También se pueden usar para cambiar los permisos de archivos y directorios, o archivar y descargar (robar) datos del servidor.

Los piratas informáticos generalmente instalan shells web explotando vulnerabilidades en servidores o aplicaciones internet con conexión a Web (como CMS, complementos CMS, temas CMS, CRM, intranets, and many others.).

Los shells internet se pueden escribir en cualquier lenguaje de programación, desde Ir a PHP. Esto permite a los piratas informáticos ocultar shells internet dentro del código de cualquier sitio internet con nombres genéricos (como index.asp o uploader.php), lo que hace que la detección por parte de un operador humano sea casi imposible sin la ayuda de un firewall world wide web o un escáner de malware website.

Si se descubre un shell world wide web, a menudo también se encuentra cerca un script de puerta trasera. Los shells world wide web y los scripts de puerta trasera a menudo se usan juntos. Los piratas informáticos generalmente interrumpen un servidor, plantan un shell internet para permitirles interactuar con su sistema de archivos y luego instalan una puerta trasera, que es un script automatizado que reinstala el shell website a intervalos regulares, o mantiene vivo el camino para que el hacker reinfecta el servidor si alguna vez se descubre y elimina el shell website.

El shell world-wide-web más popular de hoy es, con mucho, una herramienta llamada Chopper de China. Visto por primera vez en 2012, este shell world wide web pequeño pero repleto de funciones, es el trabajo de los hackers chinos. Fue lanzado en un foro de piratería chino, desde donde fue adoptado universalmente por casi todos los actores de amenazas en todo el mundo.

En su web site publicado ayer, Microsoft advirtió a los administradores de sistemas que tomen en serio los shells web. Según sus investigaciones anteriores, Microsoft dice que los piratas informáticos a menudo usaban shells world wide web para cargar otras herramientas de piratería en los sistemas de una víctima, herramientas que luego se usaron para operaciones de reconocimiento y movimiento lateral a través de la pink interna de la víctima, lo que convierte a los hacks de servidores world wide web en incidentes de seguridad mucho más grandes .



Enlace a la noticia unique