Agencias de Inteligencia comparten técnicas de Detección de WebShells

Técnicas de Detección de WebShells

La Agencia de Seguridad Nacional de los Estados Unidos (NSA) y la Dirección de Señales de Australia (ASD) han publicado un documento que proporciona detalles sobre las vulnerabilidades explotadas para instalar malware/backdoor en servidores web, específicamente webshells.

El software generalmente implementado en el servidor web de un obejtivo, los webshell pueden usarse para la ejecución de comandos, proporcionando a los atacantes acceso persistente a un entorno comprometido. Los canales de comunicación se pueden combinar con tráfico legítimo para evadir la detección. Para instalar shells web, los adversarios generalmente atacan vulnerabilidades en aplicaciones web o cargan código en sistemas comprometidos existentes. Una vez instalados, estos shells web pueden servir como puertas traseras o como nodos de retransmisión para enrutar comandos a otros sistemas.

Aunque generalmente se espera que los servidores orientados a Internet estén destinados a la instalación de webshell, los sistemas internos que no están orientados a Internet a menudo también están orientados, ya que son más vulnerables debido a la gestión de parches rezagada o los requisitos de seguridad permisivos.

El paper incluye información sobre:

• Como las organizaciones pueden detectar webshells.
• Como evitar que afecten sus redes
  
• Como recuperarse después de los ataques.
  
• Técnicas de detección, incluye enlaces a firmas y listas mantenidas en GitHub

El aviso también proporciona a los equipos de seguridad scripts que pueden usar para comparar un sitio web con una imagen reconocida, consultas de Splunk para identificar URI anómalos en el tráfico web, una herramienta de análisis de registro de Internet Information Services (IIS), firmas para el tráfico de red común shells web, detalles sobre cómo identificar flujos de red inesperados e invocaciones de procesos anormales, una lista de vulnerabilidades de aplicaciones web comúnmente explotadas y reglas HIPS para bloquear cambios en directorios accesibles desde la web.

Las fallas de seguridad de aplicaciones web comúnmente explotadas son:

• Microsoft SharePoint ( CVE-2019-0604 )
• Exchange Server ( CVE-2020-0688 )
• Productos Citrix ( CVE-2019-19781 )
• Atlassian Confluence (CVE-2019-3396 y CVE-2019- 3398)
• Multitud ( CVE-2019-11580 )
• Plugin de WordPress "Social Warfare" (CVE-2019-9978)
• Progress Telerik UI (CVE-2019-18935, CVE-2017-11317 y CVE-2017-11357)
• Zoho ManageEngine ( CVE-2020-10189 y CVE-2019-8394)
• Adobe ColdFusion ( CVE-2018-15961 )

Puedes descargar el papaer dando clic aquí