Código de descuento G DATA Envío gratis Marzo 2023 España

Web shells: ¿Cómo podemos deshacernos de ellos y por qué la aplicación de la ley no es realmente la respuesta?

Microsoft ha visto recientemente muchos ataques de piratas informáticos que utilizan los llamados shells web. La cantidad de ataques web shell entre agosto de 2020 y enero de 2021 se duplicó en comparación con el mismo período del año anterior. Pero, ¿qué son exactamente y cómo puedes combatirlos?

Microsoft registró un total de 144 000 ataques de shell web entre agosto de 2020 y enero de 2021. Los shells web son programas muy ligeros (scripts) que los piratas informáticos instalan para atacar sitios web afectados o servicios orientados a la web o preparar un ataque futuro. Un shell web permite a los piratas informáticos ejecutar comandos estándar en servidores web que han sido comprometidos. Los shells web usan código como PHP, JSP o ASP para este propósito.

Cuando los shells web se instalan con éxito, los piratas informáticos pueden ejecutar los mismos comandos que los administradores del sitio web. También pueden ejecutar comandos que roban datos, instalan código malicioso y brindan información del sistema que permite a los piratas informáticos penetrar más profundamente en las redes.

Difícil de descubrir

Los shells web también son una forma permanente de "puerta trasera" que continúa afectando a los servidores comprometidos. Son notoriamente difíciles de descubrir, en parte porque tienen diferentes formas de ejecutar comandos. Los piratas informáticos también ocultan estos comandos en cadenas de agentes de usuario y parámetros que se intercambian entre los atacantes y los sitios web atacados. Además, los shells web se pueden acumular en archivos multimedia u otros formatos de archivo no ejecutables.

Para averiguar si hay shells web presentes en un servidor, hay algunos indicadores que pueden ayudarlo: conexiones desconocidas en los registros del servidor, uso anormal alto del servidor, archivos con una marca de tiempo anormal y muchas otras indicaciones. Pero incluso con estos indicadores sigue siendo muy difícil descubrirlos.

Consejos para luchar contra los ataques de shell web

Para combatir los ataques que utilizan web shells, existen varias soluciones posibles. Estos incluyen el descubrimiento de estos programas al identificar y resolver vulnerabilidades y configuraciones incorrectas en aplicaciones web y servidores web mediante el uso de la administración de amenazas y vulnerabilidades.

Además, los ataques se pueden prevenir mediante una adecuada segmentación de la red perimetral, de modo que los servidores web atacados no provoquen más daños en las redes. Además, las empresas siempre deben instalar protección antivirus en los servidores, ya que esto puede evitar que el malware se instale en las máquinas. Ya hemos sido informados de casos en los que solo se implementó protección de correo electrónico en estos servidores. Esos, por supuesto, no ofrecen protección contra el malware en el servidor real o contra ciertos tipos de ataques dirigidos.

Además, las empresas deberían auditar y ver los registros de sus servidores web con mayor frecuencia. Esto les dará más conocimiento de qué sistemas podrían estar expuestos a Internet.

¿La aplicación de la ley al rescate?

Durante el ataque Hafnium y otros ataques recientes a MS Exchange, entre otras cosas, se utilizaron shells web para instalar ransomware en los servidores comprometidos y robar datos. Ahora, de repente, el FBI tomó algunas medidas por sí mismo. Hace un par de semanas, el servicio de investigación estadounidense anunció que había eliminado web shells de cientos de servidores comprometidos mediante una orden judicial. Los shells web eliminados pertenecían a un grupo que aprovechó las vulnerabilidades de Exchange en una etapa temprana para obtener acceso a las redes de organizaciones y empresas estadounidenses. Cada uno de estos shells web tenía una ruta y un nombre de archivo únicos, lo que dificultaba potencialmente que los propietarios del servidor los encontraran y eliminaran.

En esta iniciativa, encabezada por el FBI, se limpiaron cientos de servidores de Microsoft Exchange infectados con malware en Estados Unidos. Sin embargo, el hecho de que las organizaciones afectadas solo se enteraran de esto después del hecho ha generado reacciones mixtas de expertos en seguridad y compañías de seguridad.

"El FBI está ingresando a las computadoras estadounidenses para eliminar el malware y está infringiendo la ley al hacerlo", dijo el denunciante Edward Snowden. Los expertos le dijeron a SecurityWeek que la acción sienta un peligroso precedente al otorgar a las agencias de aplicación de la ley un amplio permiso para ingresar a las computadoras sospechosas de estar comprometidas. Sin embargo, también hay expertos que están de acuerdo con la acción del FBI, ya que protege a empresas que posiblemente no tengan buenos antecedentes técnicos.

Utilidad cuestionable

Un investigador de seguridad con el alias The Grugq afirma en una reacción que los servidores de Exchange infectados que se han limpiado probablemente se verán comprometidos nuevamente. También hay cuestiones legales sobre el método que se utiliza. "Esta orden es una herramienta muy poderosa y potencialmente peligrosa que le da permiso al gobierno para acceder a las computadoras de personas inocentes para eliminar archivos sin previo aviso", dijo a The Washington Post Kurt Opsahl, del movimiento de derechos civiles de EE. UU. EFF.

Si bien existen muchas dudas sobre si esta acción fue éticamente razonable en este caso, la buena noticia es que el FBI al menos está informando a todos los propietarios y administradores de los servidores de los que eliminó los shells web. Si los datos de contacto son públicos, el servicio de investigación de EE. UU. envió un correo electrónico. Si no se conocen los detalles de contacto, el FBI informó al proveedor del propietario en cuestión, quien a su vez alertó al cliente infectado y limpiado. La pregunta sigue siendo si una acción como esta hubiera sido posible en la UE.

Por supuesto, aunque los shells web se eliminaron con éxito, las vulnerabilidades subyacentes en el servidor de Exchange no se repararon. También es posible que todavía haya otro malware presente en el sistema. Las empresas definitivamente deberían verificar dos veces sus servidores en busca de malware. El hecho de que el FBI haya eliminado una cosa en particular del sistema comprometido no constituye un certificado de buena salud para la máquina en cuestión.

Un dilema ético

El asunto deja pendiente una pregunta incómoda, que se remonta a la declaración de Opsahl: si se permite que las fuerzas del orden intervengan y realicen cambios en un sistema, ¿no deja esto abierto muchas opciones potencialmente indeseables? ¿Podría ser esto un precedente para dar carta blanca a todos y cada uno de los investigadores para que vayan y reúnan supuestas pruebas de una manera "sin restricciones", incluso si no se ha cometido ningún delito? O peor aún, ¿plantar subrepticiamente evidencia allí? Este es un camino peligroso para bajar. Existe un gran potencial de daños irreparables, no solo a los datos que manejan las empresas y que les fueron confiados, sino también a la confianza de las personas en las autoridades, que en algunas áreas no es muy buena para empezar.

Este avance no podría haber llegado en peor momento. Alemania, siempre un firme defensor de la privacidad, acaba de dar luz verde a una nueva ley nacional que obligaría a los proveedores a ayudar a las fuerzas del orden público a instalar software de vigilancia en los dispositivos de un sospechoso, incluso si no se ha cometido ningún delito (todavía). Toda oposición y crítica bien fundada fue derribada, los borradores se enviaron con solo días para examinar y proporcionar comentarios. Esto sin duda tendrá un efecto de señalización.