Herramientas de hacker: C99 Shell, ¿Qué es un web shell?

Herramientas de hacker: C99 Shell, ¿Qué es un web shell?

Un shell web es un script que a menudo se carga en un servidor para dar a un pirata informático el control remoto de una máquina. Los servidores web infectados pueden ser internos a la red o estar orientados a Internet, donde el shell se usa para pivotar aún más hacia los hosts internos del servidor (Alerta (TA15-314A)).

Un pirata informático puede usar cualquier idioma para escribir el shell web, siempre que sea compatible con el servidor web de destino. Algunos de los shells web más comunes están en lenguajes que generalmente son compatibles, por ejemplo, PHP. Un pirata informático puede identificar debilidades que puede explotar e instalar un tipo de shell web utilizando herramientas de búsqueda de red. Por ejemplo, estas vulnerabilidades ocurren en el software del servidor web o en CMS o sistemas de administración de contenido. Una vez cargados con éxito, un pirata informático puede usar los shells para utilizar otras técnicas operativas para emitir comandos y escalar privilegios de forma remota. Los comandos están conectados a la funcionalidad u oportunidad disponible directamente desde el servidor y pueden incluir la capacidad de eliminar, agregar y ejecutar archivos, además de la capacidad de operar otros ejecutables,

Un administrador del sistema puede utilizar los shells web de forma deliberada y legítima para realizar acciones en el servidor, como leer registros del sistema, crear un usuario y reiniciar un servicio. A diferencia de otros tipos de shells, como los shells inversos que requieren un programa secundario para operar en la máquina de la víctima, un web shell no necesita sockets para comunicarse y a menudo se ejecuta a través de HTTP (Paganini, 2016). Hay puertas traseras que se ejecutan desde el navegador. Como tales, se consideran herramientas operativas. Antes de que puedan utilizarse para victimizar a un usuario, se debe encontrar una debilidad en la aplicación de destino. Una excelente manera para que los piratas informáticos hagan esto es cargar la amenaza a través de una página de carga de archivos, por ejemplo,

Envoltorio web c99
Un excelente ejemplo de shell web es la versión c99, que es un malware PHP que a menudo se carga en una aplicación web vulnerable para proporcionar una interfaz a los piratas informáticos. El shell c99 permite al atacante tomar el control de los procesos del servidor de Internet, permitiéndole dar comandos en el servidor como la cuenta bajo la cual opera la amenaza. Permite al pirata informático cargar, explorar el sistema de archivos, editar y ver archivos, además, eliminarlos, moverlos y cambiar permisos. Encontrar un shell c99 es una excelente manera de identificar un compromiso en un sistema. El shell c99 tiene aproximadamente 1500 líneas de longitud y algunas de sus características incluyen la visualización de medidas de seguridad que el servidor web puede usar, un visor de archivos que tiene permisos, un lugar donde el atacante puede operar código PHP personalizado (shell PHP malware c99).
Existen diferentes variantes del shell c99 que se utilizan en la actualidad. A continuación se muestra un ejemplo de uno relativamente reciente. Tiene muchas firmas que se pueden usar para escribir contramedidas.

Fuente: PHP malware c99 shell

El tipo de shell c99 utilizado en la mayoría de los ataques puede ser detectado por una cantidad significativa de software antivirus. Los expertos también pueden identificarlo por su nombre de archivo común y URL, pagat.txt. Su archivo incluye un script PHP que ha sido disfrazado. De esta forma, los atacantes ocultan el código malicioso que utilizan para eludir el firewall WAF o la aplicación web que a menudo protege el sitio. Cuando la secuencia de comandos se escribió en el servidor de destino, el atacante suele recibir un correo electrónico que anuncia el compromiso. La siguiente imagen muestra una solicitud GET que se vio en los ataques c99 (Paganini, 2016).

referencia

Alerta (TA15-314A). Servidores web y shells web comprometidos: conocimiento y orientación de amenazas. SUA- CERT.
Obtenido de https://www.us-cert.gov/ncas/alerts/TA15-314A

Paganini, P (2016). IBM advierte sobre un aumento en el número de ataques web de shell PHP C99.
Obtenido de http://securityaffairs.co/wordpress/46449/hacking/c99-webshell-attacks.html

Sobre admin

Estratega de ventas dinámico, basado en resultados, con un historial de más de 15 años de logros y éxito comprobado, lo que ha llevado a un aumento en los ingresos de millones de euros, al tiempo que proporciona un liderazgo visual visionario en mercados altamente competitivos.