Cisco Talos Incident Response ha recentemente pubblicato il rapporto trimestrale sulle tendenze degli incidenti per il primo trimestre del 2023. Una delle tendenze più degne di nota è stata l’uso diffuso di web shell nei cyber attacchi.
In effetti, i web shell non solo sono stati la minaccia più osservata in assoluto, ma sono anche apparsi in quasi un quarto di tutti gli incidenti. Questo rappresenta un aumento significativo rispetto al nostro precedente rapporto sulle tendenze (l’uso è cresciuto dal 6% al 25%).
Ci si potrebbe chiedere perché? O forse, cosa sono i web shell? E perché gli aggressori li usano nelle loro campagne? Vediamo di spiegarlo:
Cosa sono le web shell?
Un web shell è uno strumento che i malintenzionati possono usare per interagire e mantenere l’accesso a un sistema, dopo un iniziale compromissione. Si presenta sotto forma di script web (un pezzo di codice) che viene poi caricato su un sistema vulnerabile. Successivamente, può essere usato per interagire con il sistema operativo sottostante.
La complessità dei sistemi moderni, in particolare dei siti web che possono includere software o librerie di terze parti (che, a loro volta, effettuano molte connessioni in uscita), significa che gli script maligni che gli attori delle minacce usano per l’accesso iniziale, vengono facilmente trascurati.
Dopo questo accesso iniziale, gli script web maligni possono sfruttare tecniche di exploit, o vengono utilizzati per effettuare ulteriori attacchi.
Come vengono tipicamente utilizzati i web shell negli attacchi?
Gli aggressori cercheranno vulnerabilità all’interno di un sistema per trovare il miglior posto (per quanto riguarda loro) per depositare un web shell (o in molti casi, molteplici shell). Queste vulnerabilità potrebbero trovarsi in un sistema di gestione dei contenuti di un sito web o in un server web non patchato, ad esempio.
Il punto è stabilire un punto d’appoggio per ottenere un accesso persistente a un sistema. Immaginate di aver costruito una porta segreta che nessun altro conosce: avete la chiave, quindi potete tornare ogni volta che volete.
Gli avversari hanno poi diverse opzioni davanti a loro, a seconda della loro motivazione finale. Abbiamo visto eseguire da remoto codice o comandi arbitrari, così come spostarsi lateralmente all’interno della rete, o consegnare ulteriori payload maligni.
Come notato nel rapporto di Incident Response del primo trimestre 2023 di Talos, l’exploit delle applicazioni accessibili al pubblico è stata la tecnica di accesso iniziale più osservata, con l’aumento dell’attività dei web shell che contribuisce probabilmente a questa osservazione significativa.
Esempio di China Chopper
China Chopper è un web shell che permette agli aggressori di mantenere l’accesso a un sistema infetto utilizzando un’applicazione lato client, che contiene tutte le informazioni necessarie per controllare l’obiettivo.
Nel 2019, a causa del suo uso significativo negli anni precedenti (inclusi le campagne di spionaggio), due ricercatori di Talos hanno esaminato più da vicino il web shell China Chopper. Hanno esplorato diversi studi di caso in cui è stato utilizzato China Chopper.
Come si possono rilevare le web shell?
Un web shell lascia spesso impronte digitali evidenti sulla scena. Un sistema di prevenzione delle intrusioni come Snort può aiutare a rilevare se un aggressore ha usato uno strumento come un web shell per ottenere un accesso remoto.
Cisco Secure Network Analytics può aiutare a scoprire connessioni rogue, così come Cisco Umbrella bloccando le connessioni maligne a livello di DNS.
Le organizzazioni dovrebbero implementare strumenti di rilevamento e risposta agli endpoint come Cisco Secure Endpoint, che dà agli utenti la possibilità di monitorare l’invocazione del processo e ispezionare i processi.
Raccomandazioni per la prevenzione
L’aumento degli impegni con i web shell sottolinea la necessità di maggiore consapevolezza e protezione per prevenire i web shell. Talos fornisce le seguenti raccomandazioni:
- · Aggiornare e patchare regolarmente tutti i software e i sistemi operativi per identificare e rimediare alle vulnerabilità o alle cattive configurazioni nelle applicazioni web e nei server web.
- · Oltre alla patch, effettuare una generale indurimento del sistema, compresa la rimozione di servizi o protocolli laddove non sono necessari e essere consapevoli di tutti i sistemi esposti direttamente a internet.
- · Disattivare funzioni php non necessarie nel vostro “php.ini”, come eval(), exec(), peopen(), proc_open() e passthru().
- · Esaminare e controllare frequentemente i log dei server web per attività insolite o anomale.