¿Qué es un web Shell? Cisco te lo explica

A fin de instruir a sus canales en el argot del mercado de seguridad, Cisco explica uno de los conceptos más sonados y a los que debe estar atento si vende ciberseguridad: web shell.

Un web shell es una herramienta que los ciberdelincuentes utilizan para interactuar y mantener acceso a un sistema después de comprometerlo.

De acuerdo con Yair Lelis, director de Ciberseguridad en Cisco México, toma por lo general la forma de un web script malicioso (un fragmento de código) que se carga en un sistema vulnerable y posteriormente puede utilizarse para interactuar con el sistema operativo subyacente.

Estos scripts maliciosos que los ciberdelincuentes usan para el acceso inicial se pasan por alto fácilmente por la complejidad de los sistemas modernos, los sitios de Internet.

Los cuales, incluyen software de terceros y bibliotecas, y que a su vez realizan conexiones de salida, entre otros.

“As-a-service” malware keeps popping up. But did you know this is actually just fancier branding for the commodity malware we’ve been writing about forever? We have an overview of this business model for threat actors in the latest “The Need to Know” https://t.co/qCrYiNbH9Q pic.twitter.com/8GYnbitYrz

— Cisco Talos Intelligence Group (@TalosSecurity) July 19, 2023

Una vez conseguido el acceso inicial, los web scripts maliciosos aprovechan las técnicas de explotación o son usados para llevar a cabo más ataques.

¿Cómo actúa un web shell?

Los atacantes identifican vulnerabilidades dentro del sistema; colocan uno o varios web shells.

Estas flaquezas pueden estar en el sistema de administración de contenidos del website o en un web server sin parches, por ejemplo.

La idea es establecer un punto de acceso constante a un sistema.

“Es como construir una puerta trasera que nadie sabe que existe, de la que el atacante tiene la llave y a la que puede entrar tantas veces como él quiera”.

Yair Lelis, director de Ciberseguridad en Cisco México.

El ciberdelincuente que ya tiene la llave de entrada podrá ejecutar varios ataques, dependiendo de su motivación final.

Ransomware is relentless – and the threat is constant.

In our latest interview with @TalosSecurity, our experts’ take on the future of #ransomware – and steps organizations can take to strengthen their #SecurityResilience. 💪🏼🔒

Watch the full video 👉🏻 https://t.co/ivObRxoUxs pic.twitter.com/AOjyyMJ7AH

— Cisco Secure (@CiscoSecure) July 19, 2023

El ejecutivo explicó que Cisco Talos, la unidad de ciberinteligencia de la compañía, ha visto ejecutar remotamente códigos o comandos, movimientos laterales dentro de la red, o entregar cargas maliciosas adicionales.

En el reporte de incidentes realizado por esta unidad, al primer trimestre de 2023, destaca que la explotación de aplicaciones públicas fue la principal técnica de acceso inicial observada.

Asi como, el aumento de la actividad de web shell, siendo prácticamente la cuarta amenaza detectada desde principio de año, que posiblemente contribuyó a esta observación significativa.

Cuatro pasos para prevenirte una intrusión de web shell

Un sistema de prevención puede detectar si el atacante ha usado una herramienta como web shell para obtener acceso remoto.

También recomienda:

• Implementa una solución de visibilidad de red y análisis de seguridad para una protección avanzada en toda la red extendida y en la nube.
• Las herramientas en la nube que utilicen la infraestructura de Internet para aplicar la seguridad y bloquear la actividad maliciosa antes de que se establezca la conexión son de gran valor.
• Soluciones de detección y respuesta para puntos finales.
• Actualiza y aplica parches de forma rutinaria a todo el software y sistemas operativos para identificar y corregir vulnerabilidades o configuraciones incorrectas en aplicaciones web y servidores web.