domingo, marzo 04, 2012

Riesgos en el uso de WebShells en auditorías web

Cuando se está haciendo una auditoría de seguridad web hay que tener especial cuidado a la hora de realizar ciertas acciones de post-explotación, sobre todo si la aplicación web del cliente está en producción en esos momentos. Huelga decir que si la aplicación está siendo en uso, los escaneos intensivos o las pruebas de D.O.S. deben realizarse a horas programadas con el cliente en las que haya poca carga de trabajo, o que hay que evitar ataques que modifiquen datos reales de la aplicación.

Hoy, por otro lado, quiero hablaros de las WebShells y sus riesgos de uso en auditorias de seguridad, ya que por acabar una auditoría web a lo grande, puedes llegar a poner en riesgo al cliente de diferentes maneras.

Google te indexa la WebShell

El primero de ellos puede ser algo tan tonto y peligroso como que una vez que hayas subido la WebShell llegue la araña de Google o cualquier otro buscador, y tu WebShell quede indexada en las bases de datos de los motores de búsqueda.

A parti de ese momento, la WebShell podrá ser encontrada por Internet, tal y como os puse en el artículo de Community Shells Availables en Google, donde es fácil localizar miles y miles de shells buscando "con cariño" en las bases de datos de los buscadores. 

Figura 1: WebShells C99 indexadas en Google en el último mes

Si subes un WebShell, procura que sea en un directorio no indexable, ponerle una password de acceso a la misma y retirarla nada más termines las pruebas que estés realizando en el momento. Nada de dejar la WebShell subida para hacer pruebas "más tarde".

WebShell infectada

La otra de las gracias que puede pasar es que esa WebShell que vayas a subir venga "con sorpresa". No es nuevo que una WebShell se ponga en Internet con una bonita sorpresa en forma de conexión  a un servidor de otro atacante en la que se reporta la URL en la que ha sido subida esta WebShell. Si no tienes cuidado, puedes subir una WebShell al servidor de un cliente y reportarlo a un malo de verdad que se conecte a ella y haga un serio destrozo.

Para saber si una WebShell está troyanizada, antes de utilizarla con confianza, puedes subirla a tus servidores y utilizando Firebug en Firefox o el análisis de conexiones de Google Chrome, comprueba a qué sitios se está conectando esta WebShell

Figura 2: WebShell C99Shell infectada distribuida en Internet

Como se puede ver en esta C99Shell, hay una conexión, que ya está caída, en la que se está reportando la URL dónde se ha subido esta shell. Algo que sin duda no le va a gustar a tu cliente.  Ojo, ya hay técnicas que intentan evitar esta detección simple, y realizan reportes en diferido, o en situaciones concretas, así que no hagas un análisis rápido, lo suyo sería que analizaras bien el código, pero si no, tenla a prueba un buen rato.

Nosotros te recomendamos que te hagas una buena tuya, que aunque sea más limitada, vas a evitar determinadas detecciones de antimalware o iDS, y además estas seguro de lo que subes.

Saludos Malignos!

5 comentarios:

  1. Aunque la recomendación es hacernos una nosotros.

    ¿Recomiendas alguna "limpia"? ;)

    ResponderEliminar
  2. Y el IE no tiene esa caracteristica de conexiones¿.?

    ResponderEliminar
  3. Totalmente de acuerdo contigo, en Auditoria lo responsable es subir una Shell propia. Realmente en la mayor parte de los casos bastaria con demostrar que se puede subir la shell.
    Yo subiria algo totalmente inocuo, de tal manera que no se puede realizar nada contra el cliente.
    Un saludo Chema!!

    ResponderEliminar
  4. Buenas noches:

    En mi servidor alguien subió una c99.php y no supe cómo, ni tampoco sé como prevenir que lo vuelvan a hacer.

    ¿Podrían informarme?

    Muchas gracias.

    ResponderEliminar
  5. @Merlyn en cada web se meten de una manera... Necesitas una auditoría de seguridad...

    Saludos!

    ResponderEliminar