Un web shell es una herramienta que los ciberdelincuentes utilizan para interactuar y mantener acceso a un sistema después de comprometerlo.
De acuerdo con Yair Lelis, director de Ciberseguridad en Cisco México, toma por lo general la forma de un web script malicioso (un fragmento de código) que se carga en un sistema vulnerable y posteriormente puede utilizarse para interactuar con el sistema operativo subyacente.
Estos scripts maliciosos que los ciberdelincuentes usan para el acceso inicial se pasan por alto fácilmente por la complejidad de los sistemas modernos, los sitios de Internet.
Los cuales, incluyen software de terceros y bibliotecas, y que a su vez realizan conexiones de salida, entre otros.
“As-a-service” malware keeps popping up. But did you know this is actually just fancier branding for the commodity malware we’ve been writing about forever? We have an overview of this business model for threat actors in the latest “The Need to Know” https://t.co/qCrYiNbH9Q pic.twitter.com/8GYnbitYrz
— Cisco Talos Intelligence Group (@TalosSecurity) July 19, 2023
Una vez conseguido el acceso inicial, los web scripts maliciosos aprovechan las técnicas de explotación o son usados para llevar a cabo más ataques.
Los atacantes identifican vulnerabilidades dentro del sistema; colocan uno o varios web shells.
Estas flaquezas pueden estar en el sistema de administración de contenidos del website o en un web server sin parches, por ejemplo.
La idea es establecer un punto de acceso constante a un sistema.
“Es como construir una puerta trasera que nadie sabe que existe, de la que el atacante tiene la llave y a la que puede entrar tantas veces como él quiera”.
Yair Lelis, director de Ciberseguridad en Cisco México.
El ciberdelincuente que ya tiene la llave de entrada podrá ejecutar varios ataques, dependiendo de su motivación final.
Ransomware is relentless – and the threat is constant.
— Cisco Secure (@CiscoSecure) July 19, 2023
In our latest interview with @TalosSecurity, our experts’ take on the future of #ransomware – and steps organizations can take to strengthen their #SecurityResilience. 💪🏼🔒
Watch the full video 👉🏻 https://t.co/ivObRxoUxs pic.twitter.com/AOjyyMJ7AH
El ejecutivo explicó que Cisco Talos, la unidad de ciberinteligencia de la compañía, ha visto ejecutar remotamente códigos o comandos, movimientos laterales dentro de la red, o entregar cargas maliciosas adicionales.
En el reporte de incidentes realizado por esta unidad, al primer trimestre de 2023, destaca que la explotación de aplicaciones públicas fue la principal técnica de acceso inicial observada.
Asi como, el aumento de la actividad de web shell, siendo prácticamente la cuarta amenaza detectada desde principio de año, que posiblemente contribuyó a esta observación significativa.
Un sistema de prevención puede detectar si el atacante ha usado una herramienta como web shell para obtener acceso remoto.
También recomienda: