Cuando se está haciendo una auditoría de seguridad web
hay que tener especial cuidado a la hora de realizar ciertas acciones
de post-explotación, sobre todo si la aplicación web del cliente está en
producción en esos momentos. Huelga decir que si la aplicación está
siendo en uso, los escaneos intensivos o las pruebas de D.O.S.
deben realizarse a horas programadas con el cliente en las que haya
poca carga de trabajo, o que hay que evitar ataques que modifiquen datos
reales de la aplicación.
Hoy, por otro lado, quiero hablaros de las WebShells y sus
riesgos de uso en auditorias de seguridad, ya que por acabar una
auditoría web a lo grande, puedes llegar a poner en riesgo al cliente de
diferentes maneras.
Google te indexa la WebShell
El primero de ellos puede ser algo tan tonto y peligroso como que una vez que hayas subido la WebShell llegue la araña de Google o cualquier otro buscador, y tu WebShell quede indexada en las bases de datos de los motores de búsqueda.
A parti de ese momento, la WebShell podrá ser encontrada por Internet, tal y como os puse en el artículo de Community Shells Availables en Google, donde es fácil localizar miles y miles de shells buscando "con cariño" en las bases de datos de los buscadores.
 |
| Figura 1: WebShells C99 indexadas en Google en el último mes |
Si subes un WebShell, procura que sea en un directorio no
indexable, ponerle una password de acceso a la misma y retirarla nada
más termines las pruebas que estés realizando en el momento. Nada de
dejar la WebShell subida para hacer pruebas "más tarde".
WebShell infectada
La otra de las gracias que puede pasar es que esa WebShell que vayas a subir venga "con sorpresa". No es nuevo que una WebShell se
ponga en Internet con una bonita sorpresa en forma de conexión a un
servidor de otro atacante en la que se reporta la URL en la que ha sido
subida esta WebShell. Si no tienes cuidado, puedes subir una WebShell al servidor de un cliente y reportarlo a un malo de verdad que se conecte a ella y haga un serio destrozo.
Para saber si una WebShell está troyanizada, antes de utilizarla con confianza, puedes subirla a tus servidores y utilizando Firebug en Firefox o el análisis de conexiones de Google Chrome, comprueba a qué sitios se está conectando esta WebShell.
 |
| Figura 2: WebShell C99Shell infectada distribuida en Internet |
Como se puede ver en esta C99Shell, hay una conexión, que
ya está caída, en la que se está reportando la URL dónde se ha subido
esta shell. Algo que sin duda no le va a gustar a tu cliente. Ojo, ya
hay técnicas que intentan evitar esta detección simple, y realizan
reportes en diferido, o en situaciones concretas, así que no hagas un
análisis rápido, lo suyo sería que analizaras bien el código, pero si
no, tenla a prueba un buen rato.
Nosotros te recomendamos que te hagas una buena tuya, que aunque sea más limitada, vas a evitar determinadas detecciones de antimalware o iDS, y además estas seguro de lo que subes.
Nosotros te recomendamos que te hagas una buena tuya, que aunque sea más limitada, vas a evitar determinadas detecciones de antimalware o iDS, y además estas seguro de lo que subes.
Fuente y links del mismo interés :
http://www.elladodelmal.com/2012/03/riesgos-en-el-uso-de-webshells-en.html
http://www.elladodelmal.com/2011/01/community-shell-availables.html
http://www.elladodelmal.com/2012/05/ejecutar-codigo-remoto-en-apache-con.html
http://www.elladodelmal.com/2012/10/donde-meto-mi-webshell-metodos.html
http://www.elladodelmal.com/2014/05/usar-google-para-descubrir-sitos-webs.html
No hay comentarios:
Publicar un comentario