Microsoft, a través de una entrada en su blog, ha revelado los resultados de una investigación en la cual asegura detectar una media de 77.000 “web shells” en alrededor de 46.000 máquinas distintas.
La investigación se ha llevado a cabo a través de tres ramas del gigante de Redmon: Detection and Response Team (DART), Microsoft Defender ATP Research Team y Microsoft Threat Intelligence Center (MSTIC). Dicha investigación comenzó a través de la contratación del servicio DART por parte de un sector público que detectó que tenía mal configurado uno de sus servidores; lo que encontraron fue una “web shell” en la máquina.
Una “web shell“ (más conocida como “shell” a secas) es un programa o script malicioso que introduce un atacante en una máquina (servidor) comprometida. Este script o programa proporciona al atacante acceso remoto al servidor, así como una interfaz web para ejecutar el código deseado en el servidor comprometido. Las acciones que se pueden llevar a cabo van desde realizar acciones básicas como manipular ficheros, hasta facilitar un terminal en el cual se pueden ejecutar comandos más avanzados.
Estas shells son introducidas por los atacantes en los servidores a los que previamente han conseguido un acceso, ya sea por medio de una vulnerabilidad (conocida o no) en el servidor objetivo, ingeniería social o fallas de configuración en la seguridad. Estas shells, para ampliar su impacto, suelen estar escritas en un lenguaje que entienden casi todos los servidores como puede ser ASP, PHP, JSP, etc.
Esta investigación realizada por el equipo de Microsoft ha desvelado que el uso de shells está muy extendido, llegando a un promedio de 77.000 aplicaciones web maliciosas en tan solo 46.000 máquinas.
De esto último podemos sacar como conclusión final que, a pesar de la concienciación in crescendo en materias de ciberseguridad, la seguridad general de las máquinas en la actualidad sigue siendo bastante mejorable.
Más información:
Ghost in the shell: Investigating web shell attacks
Deja una respuesta