Instrumente de piratare: C99 Shell, Ce este un shell web?

Instrumente de piratare: C99 Shell, Ce este un shell web?

Un shell web este un script care este adesea încărcat pe un server cu scopul de a oferi unui hacker controlul de la distanță al unei mașini. Serverele web care se infectează pot fi interne în rețea sau orientate către internet, unde shell-ul este utilizat pentru a pivota mai departe către gazdele interne ale serverului (Alertă (TA15-314A)).

Un hacker poate folosi orice limbă pentru a scrie shell-ul web, atâta timp cât acesta este acceptat de serverul web țintă. Unele dintre cele mai frecvente shell-uri web sunt în limbi care sunt acceptate în general, de exemplu, PHP. Un hacker poate identifica punctele slabe pe care le poate exploata și instala un tip de shell web utilizând instrumente de cercetare a rețelei. De exemplu, aceste vulnerabilități apar în software-ul serverului web sau în sistemele CMS sau de gestionare a conținutului. Odată ce au fost încărcate cu succes, un hacker poate folosi shell-urile pentru a utiliza alte tehnici de exploatare pentru a emite comenzi și a escalada privilegiile de la distanță. Comenzile sunt conectate la funcționalitatea sau oportunitatea disponibilă direct de server și pot include capacitatea de ștergere, adăugare și executare a fișierelor, în plus, capacitatea de a opera alte executabile,

Shell-urile web pot fi folosite în mod deliberat și legitim de către un administrator al unui sistem pentru a efectua acțiuni pe server, de exemplu, citirea jurnalelor de sistem, crearea unui utilizator și repornirea unui serviciu. Spre deosebire de alte tipuri de shell-uri, cum ar fi shell-urile inverse care au nevoie de un program secundar pentru a opera pe mașina unei victime, un shell web nu are nevoie de sockets pentru comunicare și sunt adesea rulate prin HTTP (Paganini, 2016). Sunt portiere din spate care funcționează din browser. Ca atare, acestea sunt considerate instrumente de exploatare. Înainte ca acestea să poată fi utilizate pentru a victimiza un utilizator, trebuie găsită o slăbiciune în aplicația țintă. Un mod excelent prin care hackerii fac acest lucru este încărcarea amenințării printr-o pagină pentru încărcarea fișierelor, de exemplu,

Învelișul web c99

Un exemplu excelent de shell web este varianta c99, care este un malware PHP încărcat adesea într-o aplicație web vulnerabilă pentru a oferi hackerilor o interfață. Shell-ul c99 permite atacatorului să preia controlul asupra proceselor serverului de Internet, permițându-i să dea comenzi pe server ca contul sub care operează amenințarea. Permite hackerului să încarce, să navigheze pe sistemul de fișiere, să editeze și să vizualizeze fișiere, în plus, să le șteargă, să le mute și să schimbe permisiunile. Găsirea unui shell c99 este o modalitate excelentă de a identifica un compromis asupra unui sistem. Shell-ul c99 are o lungime de aproximativ 1500 de linii, iar unele dintre trăsăturile sale includ afișarea măsurilor de securitate pe care le poate utiliza serverul web, un vizualizator de fișiere care are permisiuni, un loc în care atacatorul poate opera cod PHP personalizat (PHP malware c99 shell).
Există diferite variante ale shell-ului c99 care sunt utilizate astăzi. Mai jos este un exemplu de unul relativ recent. Are multe semnături care pot fi utilizate pentru a scrie contramăsuri de protecție.

Sursă: PHP malware c99 shell

Tipul de shell c99 utilizat în majoritatea atacurilor poate fi detectat de un număr semnificativ de software antivirus. De asemenea, experții îl pot identifica prin numele său comun de fișier și adresa URL, pagat.txt. Fișierul său include un script PHP care a fost deghizat. În acest fel, atacatorii ascund un cod rău intenționat pe care îl folosesc pentru a ocoli paravanul de protecție WAF sau aplicația web care protejează adesea site-ul. Când scriptul a fost scris pe serverul țintă, atacatorul primește adesea un e-mail prin care îl anunță compromisul. Imaginea de mai jos prezintă o solicitare GET care a fost văzută în atacurile c99 (Paganini, 2016).

Referințe

Alertă (TA15-314A). Servere web și shell-uri web compromise – Conștientizarea și îndrumarea amenințărilor. SUA- CERT.
Adus de la  https://www.us-cert.gov/ncas/alerts/TA15-314A

Paganini, P (2016). IBM avertizează o creștere a numărului de atacuri web shell PHP C99.
Adus de la  http://securityaffairs.co/wordpress/46449/hacking/c99-webshell-attacks.html

Despre admin

Strateg de vânzări dinamic, bazat pe rezultate, cu un record de peste 15 ani de realizări și succes demonstrat, determinând o creștere a veniturilor de milioane de euro, oferind în același timp un leadership vizionar vizual pe piețe extrem de competitive.