CRISI-Focus On Cipro: storia del bailout del centro offshore

EXPORT- Sace: Malesia tra i top market (+,6%...

8 maggio 2013 Comments (0) Approfondimenti

SICUREZZA IT-Websense Security Lab: Webshell su server Web

Websense Security Lab ha pubblicato un nuovo post dal titolo WebShell WebShell sul server Web , che spiega come le Webshell siano un tool per ottenere l’accesso ai server Web: le Webshell, come molti altri strumenti a disposizione dei cyber criminali, stanno diventando dei veri e propri strumenti di lavoro per ottenere un accesso regolare dopo aver compromesso un sito Web; la distribuzione delle Webshell, che utilizzano tecniche di offuscamento, indica quanto sia diffusa la tendenza a compromettere host di siti Web legittimi. Come indicato nel Threat Report 2013 di Websense: il numero dei siti malevoli e aumentato quasi del 600% e l’85% degli host malevoli e stato rilevato su Web host legittimi. I siti Web che sono compromessi hanno maggiori probabilita di essere coinvolti in attivita malevole, da attacchi waterhole ad attacchi malware di massa. Un sito Web compromesso puo comportarsi come un punto calling home command and control per i malware.

Questo blog descrive brevemente cosa sono le WebShell e come i cyber criminali possono usarle per ottenere accessi shell livel/system level al server. WebShell e stata sfruttata per molto tempo negli attacchi, ma il cambiamento del panorama delle minacce sta portando i criminali informatici a implementare tecniche e metodi sempre piu sofisticati per aggirare i sistemi di rilevazione. Grazie all’aiuto di Websense(R) ThreatSeeker(R) Intelligence Cloud, abbiamo analizzato alcuni esempi, in cui i criminali informatici hanno utilizzato tecniche diverse.

BodyPart_17Molte compromissioni di massa si compiono in modo automatico: le vulnerabilita sono elencate e dopo che ne viene trovata una, gli exploit vengono implementati automaticamente. Il processo di acquisizione solitamente comprende il download di un tool di amministrazione remota per siti Web compromessi. Uno strumento comune sviluppato dagli hacker una volta che il sito Web compromesso e una WebShell.

Questo diagramma mostra un attacco, in cui un cyber criminale trova una vulnerabilita all’interno di un’applicazione Web hosted e gestisce l’upload di un’applicazione backdoor malevola in uno dei linguaggi supportati dal server. Questo garantisce il controllo dell’intero server Web.

Che cos’e una WebShell?

Webshell e uno script/codice (scritto all’interno dei linguaggi come PHP, Perl o Python) che agisce sul sistema e permette di controllare da remoto la macchina. Sebbene le Webshell siano utilizzate come Remote Administration Tool in modo legittimo, possono pero essere sfruttate dagli autori di malware per compromettere siti Web. Una volta che il cyber criminale ha a disposizione un server Web per eseguire lo script, ottiene un accesso shell all’host del sistema operativo, agendo con gli stessi privilegi del Web server. Per evitare di essere rilevati dal firewall o dall’antivirus, i cyber criminali utilizzano tecniche di evasione come l’offuscamento del codice e la crittografia. Per contrastare la diffusione di WebShell, un’analisi completa dei contenuti puo rivelare e intercettare un’ampia varieta di comuni tecniche di offuscamento e anche decifrare lo script per svelare il vero intento.

BodyPart_18In questo esempio, abbiamo visto una WebShell personalizzata chiamata “oRb”. Il corpo della WebShell e nascosto per evitare il rilevamento, usando una funzione di preg_replace con l’agente modificato “e”.

La codifica esadecimale e stata usata per nascondere eval(gzinflate(base64_decode( .

Grazie alla funzionalita di scansione in tempo reale, Websense ACE(TM) (il nostro Advanced Classification Engine) rileva i metodi e le tecniche di offuscamento che sono state approfondite sopra.

BodyPart_20In questo secondo esempio e possibile vedere il tipo di funzionalita che comprende la WebShell. In questo caso e possibile rilevare la versione non offuscata di “RC Shell v2.0”, che assomiglia al nostro esempio precedente dal momento che cerca di nascondersi come immagine.

Una volta che viene eseguito lo script della WebShell, questo offre un’interfaccia Web per operazioni da remoto sul server, che comprendono:

Informazione ServerFile manager (accesso al sistema di file system)Access ai comandi operativiSQL managerEsecuzione del codice PHPBruteforce FTP, MySQL, PgSQLFile di ricerca, ricerca di testi nei fileUpload dei contenuti malevoliInfezione del codice di massa

BodyPart_21Questa immagine animata mostra come appare una WebShell nel momento in cui viene eseguita (cliccare sull’immagine per visualizzare le animazioni).

ACE blocchera l’accesso a script/pagina WebShell malevoli se gli utenti finali lo individuano come script. Oltre a per prevenire l’accesso, monitoriamo i contenuti in uscita per evitare che i dati sensibili lascino l’azienda attraverso i comandi shell anche se il canale abusato e crittografato SSL, che e una comune tecnica malware avanzata. Con l’aiuto della telemetria Web possiamo confermare la presenza di oltre 85.000.000 siti Web compromessi e imparare da loro, compreso quello che abbiamo discusso circa le WebShell.

Per saperne di piu e possibile leggere il nostro Threat Report..


    Lascia una risposta

    L'indirizzo email non verrà pubblicato.