Microsoft, a través
de una entrada en su blog, ha revelado los resultados de una investigación en
la cual asegura detectar una media de 77.000 “web shells” en alrededor de
46.000 máquinas distintas.
La investigación se
ha llevado a cabo a través de tres ramas del gigante de Redmon: Detection and
Response Team (DART), Microsoft Defender ATP Research Team y Microsoft Threat
Intelligence Center (MSTIC). Dicha investigación comenzó a través de la contratación
del servicio DART por parte de un sector público que detectó que tenía mal
configurado uno de sus servidores; lo que encontraron fue una “web shell” en la
máquina.
Una “web shell“ (más
conocida como “shell” a secas) es un programa o script malicioso que introduce
un atacante en una máquina (servidor) comprometida. Este script o programa
proporciona al atacante acceso remoto al servidor, así como una interfaz web
para ejecutar el código deseado en el servidor comprometido. Las acciones que
se pueden llevar a cabo van desde realizar acciones básicas como manipular
ficheros, hasta facilitar un terminal en el cual se pueden ejecutar comandos
más avanzados.
Estas shells son
introducidas por los atacantes en los servidores a los que previamente han
conseguido un acceso, ya sea por medio de una vulnerabilidad (conocida o no) en
el servidor objetivo, ingeniería social o fallas de configuración en la
seguridad. Estas shells, para ampliar su impacto, suelen estar escritas en un
lenguaje que entienden casi todos los servidores como puede ser ASP, PHP, JSP,
etc.
Esta investigación
realizada por el equipo de Microsoft ha desvelado que el uso de shells está muy
extendido, llegando a un promedio de
77.000 aplicaciones web maliciosas en tan solo 46.000 máquinas.
De esto último
podemos sacar como conclusión final que, a pesar de la concienciación in
crescendo en materias de ciberseguridad, la seguridad general de las máquinas
en la actualidad sigue siendo bastante mejorable.
Más información:
Ghost in the shell: Investigating web shell attacks https://www.microsoft.com/security/blog/2020/02/04/ghost-in-the-shell-investigating-web-shell-attacks/
Fuente: Hispasec