"Cuando piratean aplicaciones Web, los atacantes tratan de encontrar cuentas vulnerables o identificar los punton débiles del servidor web objetivo. Para protegerse de ello, los administradores de seguridad intentan parchear o corregir cualquier vulnerabilidad o cuenta vulnerable identificada, de manera que aunque haya ataques informáticos no se vean afectados por ellos. Cuando estas vulnerabilidades son resueltas, los atacantes cambian de objetivo o buscan una nueva vulnerabilidad o manera de reexplotar la información de alguna cuenta vulnerable. Lo que les supone tiempo y esfuerzo. Es por esto que los atacantes a menudo instalan puertas traseras llamadas“Webshells”para poder mantener el control de los servidores comprometidos. Una vez esta puerta trasera es instalada, los atacantes pueden robar información de dichos servidores siempre que quieran así como usarlos como puente para atacar otros servidores dentro del mismo entorno. Las Webshell han sido usadas desde hace mucho tiempo y las compañias han confiado en los antivirus basados en firmas para defender de ellos. Pero, actualmente, las Webshells están usando código oculto para evadir estas detecciones basadas en firmas lo que está incrementando las dificultad de detectarlas. Por ello las compañias de antivirus han priorizado su foco más en protección contra Randomware y otros malware comunes que en las Webshell."
"Los software de detección de Webshell han sido normalmente muy intensivos en recursos. Lo que resulta problemático ya que el rendimiento es clave en servidores que alojan aplicaciones web críticas. A través de los años también ha habido incontables variantes de Webshell lo que ha hecho que los sistemas de detección basados en firmas sean ineficientes. Pero, en cualquier caso, una vez que una Webshell ha sido instalada, el daño puede ser catastrófico. Un servidor comprometido puede ser infectado facilmente por otros virus, sus datos e información confidencial pueden ser filtrada y puede ser utilizado como puente para atacar a otros servidores. Por todo ello, para poder proteger a las compañias del filtrado de datos y asegurar la confianza de la reputación de la marca de la compañía, los desarrolladores de Antishell han estado intentado encontrar la manera de detectar WebShells sin depender de los convencionales sistemas de detección basados en firmas. AntiShell es un programa único que puede detectar Webshells y generar reportes en tiempo real. Es “Webshell Hunter”."
AntiShell Web Shell Hunter
Los programas Shell pueden correr en servidores web. Pueden estar escritos en diferentes lenguajes como PHP, Perl, Python. Una vez son instalados dentro de un servidor funcionan como puerta trasera, lo que les permite ejecutar cualquier comando del SO y provocar filtrados de la información interna del servidor o el cierre de servicios web críticos. Cuando esta puerta trasera es construida también puede dirigir la introducción de malwares como randomware, distribuir virus a los usuarios finales o ser usados como puente para atacar a otros servidores, etc. Actualmente, las WebShell también están evolucionando y hay casos en los que están dotadas de funciones como camuflaje o autoeliminación, volviéndose así su detección cada vez más difícil.
| Funciones | Resumen |
|---|---|
| Recopilación de información del servidor | Habilidad para recabar información del servidor (tipo de CPU, tamaño de memoria instalada, capacidad del disco duro, tipo de SO), versiones del software instalado (Apache y PHP), infomación de los procesos en ejecución, etc. |
| Operaciones de ficheros | Habilidad para cargar, descargar, eliminar y modificar el contenido de los ficheros. En algunos casos las Webshell incorporar un editor simple en el procesador de archivos. |
| Asistencia de ejecución de comandos del SO | Habilidad para ejecutar comandos a nivel de SO a través de una página de administración web como si se estuviera ejecutando desde el terminal de la consola. |
| Conexión a la base de datos | Interface Web que se conecta a bases de datos de otros servidores conectados a la misma red de trabajo o a bases de datos del propio servidor infectado. |
| Conexión FTP | Interface Web que se conecta a servidores FTP que se encuentran en la misma red de trabajo o servidores FTP que están dentro del servidor infectado. |
| Ataques a otros host (Brute-force attack) | Posibilidad de realizar Brute-force attack a servicios públicos alojados en otros servidores (SSH, TELNET, etc.) |
| Herramienta de operación de cadenas de caracteres. | Una función que le permite hacer encode/decode de cadenas URL, encode/decode de cadenas de hash BASE64, MD5 y SHA1. etc. |
| Función de autoeliminación | La WebShell se autodestruirá cuando deje de ser necesaria. |
Las Webshells normalmente poseen la habilidad de administrar sesiones de gestión. Cuando un usuario no autorizado intenta acceder al webshell, el acceso a sus funciones principales generalmente está restringido. La Webshell puede enviar contenido inofensivo al usuario-agente solicitante (por ejemplo, rastreadores web) o presentar un “404 no encontrado”a cualquier usuario no autorizado. Las Webshells están diseñadas para responder solamente a comandos de ejecución basados en parámetros específicos de entrada, lo que incrementa la dificultad de detectar Webshell. Los atacantes pueden diseñar sus propias Webshell o las Webshells ya existentes pueden ser ocultadas para evitar su detección.
La detección de las Webshell es difícil porque estas pueden estar escritas en muchos lenguajes y además ocultas o modificadas por los atacantes. AntiShell está capacitado para detectar webshells independientemente de su lenguaje. Está diseñado para descomprimir todos los archivos en un directorio específico y examinarlos línea por línea. Soporta numerosos tipos de archivos como php, asp, Perl, Python, java, txt, image files etc. Cuando AntiShell detecta un código peligroso, lo reporta al servidor maestro de AntiShell, lo clasifica según el nivel de riesgo y lo notifica a los administradores en la página de administración de AntiShell.
Como el sistema de escaneo de AntiShell usa “verificación diferencial” no escaneará el mismo archivo mientras este no sufra modificaciones. Esto ahorra tiempo y recursos de rendimiento al servidor. Cuando AntiShell detecta webshells desconocidas en un servidor, reporta inmediatamente los detalles encontrados al servidor maestro. Se realizará el mismo proceso cuando se detecten webshells desconocidas en servidores en otros lugares. La información es automaticamente enviada al servidor master alojado en la nube e inmediatamente compartida con todos los agentes AntiShell.
Los archivos son analizados línea por línea por lo que para archivos voluminosos un análisis completo requerirá tiempo.
* Los análisis adicionales solo serán realizados en aquellos ficheros que hayan sido modificados. Con AntiShell se puede programar análisis de antemano a través de la interfaz de administración. Cuando el análisis es completado se envia un correo electrónico al administrador. Los escaneos pueden establecerse diariamente, semanalmente o mensualmente a las horas especificadas.
| Level | manage server hosts | manage administrators | scan execution | viewing reports | support |
|---|---|---|---|---|---|
| Server administrator | ○ | ○ | ○ | ○ | ○ |
| Manager | × | × | ○ | ○ | ○ |
Los usuarios y sus privilegios pueden ser facilmente gestionados desde la página de administración. Se le pueden asignar privilegios de acceso en la consola a cada usuario según su rol. Por ejemplo, los usuarios de nivel de gestión podrían ver informes pero no administrar (añadir/eliminar) hosts de agentes. En cualquier caso, cuando una webshell sea detectada proporcionaremos asistencia en el tratamiento del incidente.
AntiShell es un servicio especializado en la detección de WebShell y es el único producto que se enfoca exclusivamente en este campo. Los proveedores de antivirus pueden proporcionar detección webshell como un servicio adicional opcional sobre el software antivirus existente; sin embargo, dependen de sistemas de detección basados en firmas que tienen una efectividad limitada. Estos servicios también pueden proporcionar dicha detección con tarifas adicionales para la eliminación de WebShell. Por el contrario, AntiShell dispone de la habilidad de detectar y mostrar los archivos que alojan el código WebShell y proporcionar información importante y precisa como la fecha y hora de creación del archivo, la propiedad del archivo y los privilegios, etc. Al mismo tiempo, esta información es reportada a nuestro centro de atención al cliente para poder proporcionarle todo el apoyo para tratar e investigar el incidente.
1) Los usuarios con privilegios para ejecutar las carpetas y archivos pueden iniciar su análisis. El escaneo es posible tanto en tiempo real como programado. Se ejecuta en cada servidor individualmente y se puede asignar un calendario para escaneos semanales o mensuales. Dicho análisis puede ser aplicado a jerarquias enteras de carpetas
2) Análisis del servidor seleccionado.
3) Después de completar con éxito el análisis, AntiShell subirá el resultado al servidor de gestión. Los resultados del escaneo y los archivos identificados pueden verse a través de la consola de gestión. Se pueden aplicar excepciones a archivos seguros conocidos.
4) Durante la revisión del resultado del análisis, los archivos identificados pueden ser enviados al Análisis Sandbox directamente desde la consola de gestión.
5) Los archivos enviados serán analizados en el Sandbox. Las acciones de corrección recomendadas pueden variar dependiendo de la importancia del archivo enviado. Archivos de configuración Apache: Recomendado eliminar el código fuente del archivo e intentar preservar el archivo mismo. Documentos altamente peligrosos: Recomendado eliminar el archivo inmediatamente. Se proporcionarán tambien acciones de corrección recomendadas e información contextual adicional (Servicio de pago)
Dado que hay varios patrones de ataque, varios tipos de WebShell, el formato de firma no puede manejarlos. “Cómo juzgar webshell” es la parte central de este sistema y algunas partes son alto secreto, por lo que no podemos desvelar los detalles. Aquí hay algunas explicaciones sobre lo que hace AntiShell.
