Microsoft advierte sobre un número creciente de ataques de Web Shell

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft declara que la cantidad de ataques de web shell mensuales casi se ha duplicado desde el año pasado, con un promedio de 140.000 herramientas maliciosas de este tipo que se encuentran en servidores comprometidos cada mes.

Los web shells son herramientas (scripts o programas) que los actores de amenazas implementan en servidores pirateados para obtener y / o mantener el acceso, así como para ejecutar de forma remota códigos o comandos arbitrarios, moverse lateralmente dentro de la red o entregar cargas útiles maliciosas adicionales.

Se pueden implementar en una gran variedad de formas, desde complementos de aplicaciones y fragmentos de código PHP o ASP inyectados dentro de aplicaciones web hasta programas diseñados para proporcionar funciones de shell web y scripts de shell Perl, Python, Ruby y Unix.

"Los datos más recientes de Microsoft 365 Defender muestran que esta tendencia no solo continuó, sino que se aceleró: todos los meses desde agosto de 2020 hasta enero de 2021, registramos un promedio de 140.000 encuentros de estas amenazas en los servidores", dijo Microsoft.

En comparación, el equipo de Microsoft Defender Advanced Threat Protection (ATP) dijo en un informe publicado el año pasado que estaba detectando un promedio de 77.000 web shells cada mes, según los datos recopilados de aproximadamente 46.000 dispositivos distintos.
Microsoft también brindó algunos consejos sobre cómo fortalecer los servidores contra ataques que intentan descargar e instalar un web shell.

La lista de medidas preventivas que deberían evitar los ataques de web shell incluyen:

    Identifique y corrija vulnerabilidades o configuraciones incorrectas en aplicaciones web y servidores web. Utilice Threat and Vulnerability Management para descubrir y corregir estas debilidades. Implemente las últimas actualizaciones de seguridad tan pronto como estén disponibles.
    Implemente la segmentación adecuada de su red perimetral, de modo que un servidor web comprometido no ponga en peligro la red empresarial.
    Habilite la protección antivirus en los servidores web. Active la protección proporcionada en la nube para obtener las últimas defensas contra amenazas nuevas y emergentes. Los usuarios solo deben poder cargar archivos en directorios que puedan ser escaneados por antivirus y configurados para no permitir la ejecución o secuencias de comandos del lado del servidor.
    Audite y revise los registros de los servidores web con frecuencia. Sea consciente de todos los sistemas que expone directamente a Internet.
    Utilice el Firewall de Windows Defender, los dispositivos de prevención de intrusiones y el firewall de su red para evitar la comunicación del servidor de comando y control entre los puntos finales siempre que sea posible, limitando el movimiento lateral, así como otras actividades de ataque.
    Verifique su firewall y proxy perimetral para restringir el acceso innecesario a los servicios, incluido el acceso a los servicios a través de puertos no estándar.
    Practique una buena higiene de credenciales. Limite el uso de cuentas con privilegios de nivel de administrador local o de dominio.

Advertencia de web shell de la NSA

La Agencia de Seguridad Nacional de EE. UU. (NSA) también advirtió sobre los actores de amenazas que intensifican sus ataques en servidores web vulnerables para implementar puertas traseras de web shell en un informe conjunto publicado con la Dirección de Señales de Australia (ASD) en abril de 2020.

"Los actores cibernéticos maliciosos han aprovechado cada vez más los web shells para obtener o mantener el acceso a las redes de las víctimas", dijo la NSA.

La NSA tiene un repositorio de GitHub dedicado con herramientas que las organizaciones y los administradores pueden usar para detectar y bloquear amenazas de web shell, que incluyen:

     Secuencias de comandos para la comparación de archivos "conocidos"
     Scripts, consultas de Splunk, reglas de YARA, firmas de red y Snort para detectar web shells
     Instrucciones sobre cómo utilizar las soluciones de respuesta y detección de puntos finales (Microsoft Sysmon, Auditd) para detectar web shells en Windows y Linux
     Reglas HIPS para permitir que el sistema de seguridad basado en host del sistema, bloquee los cambios en el sistema de archivos

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta