Los shells world-wide-web continúan amenazando



Una década después de su primer uso, los shells world-wide-web siguen siendo una herramienta común para todos los tipos de atacantes, desde ciberdelincuentes comunes hasta actores estatales sofisticados.

En los últimos meses, los atacantes han aumentado el uso de programas que se ejecutan en servidores con conexión a Net como una forma de controlar de forma remota los sistemas y redes comprometidos, según las firmas de seguridad y las agencias de seguridad del gobierno.

Conocidas como shells internet, las herramientas de ataque permiten a sus operadores retener un acceso versatile a activos comprometidos mientras evitan la detección por firewalls, sistemas de detección de intrusos y herramientas antimalware basadas en host. Si bien su uso tiene más de una década, los shells web siguen siendo una forma sigilosa para que los atacantes continúen emitiendo comandos a redes comprometidas porque la técnica utiliza tráfico net ubicuo. Se han convertido en el enfoque de facto para establecer una cabeza de playa para muchos grupos de cibercriminales y de ciberespionaje, dice Wade Woolwine, investigador principal de seguridad de la firma de gestión de seguridad Rapid7.

«Poner shells web en un servidor website es una forma realmente fácil de evadir las detecciones tradicionales que vemos en el punto remaining», dice. «Los atacantes usaban (shells net) con bastante regularidad como una puerta trasera secundaria, terciaria o redundante, y todavía los vemos hoy porque es una forma de evadir la detección, y una serie de marcos web modernos le permiten una canalización directa hacia el sistema operativo para secuencias de comandos «.

La semana pasada, la Agencia de Seguridad Nacional de los EE. UU. Y la Dirección de Señal de Australia declararon en un aviso conjunto que el uso de shell website ha aumentado en los últimos meses y representa un riesgo continuo para los sistemas gubernamentales.

En febrero Microsoft prevenido que una organización no revelada del sector público, mediante la configuración incorrecta de un servidor world-wide-web, «permitió a los atacantes cargar un shell web, lo que permitió a los adversarios afianzarse para un mayor compromiso». El Grupo Lazarus vinculado a Corea del Norte, al que Microsoft se refiere como ZINC, CrowdStrike como Concealed Cobra y FireEye como APT38, ha utilizado shells world-wide-web en sus campañas, al igual que los grupos rusos y chinos.

Aproximadamente cada mes, Microsoft detecta un promedio de 77,000 aplicaciones website y artefactos relacionados en unas 46,000 máquinas, dijo la compañía.

«Los ataques de shell net han afectado a una amplia gama de industrias», declaró Microsoft en el aviso emitido por su Equipo de Detección y Respuesta (DART). «La organización en el sector público (sobre la cual advirtió la compañía) representa uno de los sectores objetivo más comunes».

Si bien algunas técnicas de ataque alcanzan su punto máximo y luego se desvanecen, los shells website se han convertido en un elemento básico de los atacantes. Por ejemplo, apareciendo por primera vez hace casi una década, China Chopper es un shell web que funciona en servidores Linux y Home windows y permanece en uso activo. En 2018, los atacantes que apuntaban a empresas de telecomunicaciones en la Operación Smooth Mobile utilizaron China Chopper para persistencia y manage de la crimson objetivo. La campaña estuvo vinculada a actores afiliados a China, denominada Gallium por Microsoft, y duró hasta mediados de 2019.

Sin embargo, China Chopper no solo es utilizada por grupos de ataque vinculados a China, sino también por muchos otros actores de amenazas, según el grupo de inteligencia Talos de Cisco.

«Veo adversarios de todos los tipos y niveles de habilidad usando los shells web», dice Nick Biasini, investigador de amenazas en Cisco Talos. «Incluso con China Chopper, se usó para todo, desde la destrucción de la Internet hasta el ciberespionaje».

El aumento en el uso de shell internet parece ser leve pero noteworthy. El número de shells net encontrados por Microsoft se duplicó el verano pasado, pero terminó el año con un aumento modesto, según su aviso. Rapid7 estima que alrededor del 10% de los ataques que investiga utilizan un shell net para acceso y persistencia.

Más recientemente, el uso de shells website para comprometer y controlar los servidores internos ha aumentado, dice Tod Beardsley, director de investigación de Speedy7.

«La World-wide-web no solo está en World-wide-web», dice. «Todo esto que es aplicable a su borde, también es aplicable a su red interna. Cualquier aplicación website es igual de vulnerable en el interior de su pink y, a menudo, tiene menos seguridad a su alrededor».

Por esa razón, las empresas no deberían centrarse solo en los servidores website. El término «shell world wide web» también se united states genéricamente para cualquier programa de acceso remoto que permita comandos a través de HTTP o HTTPS. Tanto los servidores Outlook como Sharepoint tienen interfaces basadas en la world-wide-web y, por lo tanto, están dirigidos por atacantes con instalación de shell internet.

Las empresas deberían usar la segmentación de la red para evitar que los servidores world-wide-web con conexión a World-wide-web se utilicen como cabeza de playa en el resto de la red, dice Biasini de Cisco. «Si tiene un servidor net con acceso a World wide web, no debería tener acceso interno», dice.

Además, se deben realizar exploraciones periódicas para los tipos de vulnerabilidad comunes.

«Desde una perspectiva de prevención, las empresas deberían escanear sus aplicaciones net desde el exterior, y todo lo que esté tocando Online debería ser parcheado», dice Biasini.

Contenido relacionado:

Revisa El borde, La nueva sección de Darkish Studying para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «5 maneras de demostrar el valor de la seguridad en la era de COVID-19«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Reading, MIT&#39s Technological know-how Review, Well-liked Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más thoughts





Enlace a la noticia original