La Agencia de Seguridad Nacional de EE. UU. (NSA) y la Dirección de Señales de Australia (ASD) han publicado por primera vez una advertencia de seguridad conjunta de los ciber actores que despliegan cada vez más shells web para obtener acceso persistente a redes comprometidas.
“Los atacantes a menudo crean shells web agregando o modificando un archivo en una aplicación web existente. Los shells web proporcionan a los atacantes acceso persistente a una red comprometida utilizando canales de comunicación disfrazados para mezclarse con el tráfico legítimo. El malware de shell web es una amenaza generalizada de larga data que continúa evadiendo muchas herramientas de seguridad ”, dijo la NSA.
En el informe de 17 páginas, las dos agencias gubernamentales de inteligencia proporcionan una amplia gama de información sobre cómo detectar shells web ocultos, prevenir y gestionar la respuesta a la intrusión, etc.
El informe también incluye una lista de vulnerabilidades de aplicaciones web que se explotan comúnmente para instalar malware, incluidas fallas en aplicaciones populares como Microsoft SharePoint, Microsoft Exchange, Citrix, Atlassian Confluence, WordPress, Zoho ManageEngine y Adobe ColdFusion.
Esta lista no pretendía ser exhaustiva, sino que supuestamente debía proporcionar información sobre algunos casos explotados con frecuencia, explicaron las agencias.
"Se alienta a las organizaciones a aplicar parches a las aplicaciones web internas y a Internet rápidamente para contrarrestar los riesgos de las vulnerabilidades 'n-day'", agregaron la NSA y el ASD.
Además, el aviso de seguridad contiene herramientas para ayudar a los administradores del sistema a detectar y resistir este tipo de amenazas, que incluyen:
Scripts para comparar un sitio web de producción con una imagen conocida
- Splunk consultas para detectar URL anómalas en el tráfico web
- Una herramienta de análisis de registro de Internet Information Services (IIS)
- Firmas de tráfico de red para shells web comunes
- Instrucciones para identificar flujos de red inesperados
- Instrucciones para identificar invocaciones de procesos anormales en los datos de Sysmon
- Instrucciones para identificar invocaciones de procesos anormales con Auditd
- Reglas de HIPS para bloquear cambios en directorios accesibles desde la web
Las herramientas y firmas para ayudar a defender las redes contra el malware de shell web también están disponibles en el repositorio dedicado GitHub de la NSA .
https://www.cybersecurity-help.cz/blog/1146.html
%2014.04.55.png)
