Em um artigo que promove sua plataforma de segurança comercial, a Microsoft disse detectar e rastrear em média 77 mil web shells ativos, espalhados por 46 mil servidores infectados durante as análises diárias realizadas pela companhia. 

‘Web Shell’ é um programa ou script malicioso instalado em um servidor invadido. Isso permite invasores acessarem remotamente arquivos do próprio servidor – alterando permissões de arquivos e até mesmo fazendo download de dados do sistema.

O programa ainda costuma ser acompanhado de “backdoors” – que é um script automatizado que reinstala o web shells em intervalos regulares ou o mantém livre para que o invasor reinfecte o servidor caso o programa seja descoberto e removido.

Os invasores geralmente instalam o web shell explorando vulnerabilidades em servidores ou aplicativos da Web (como CMS, plug-ins do CMS, temas do CMS, CRMs, intranets, etc.).

O web shell mais popular de hoje é, de longe, uma ferramenta chamada China Chopper. Ela foi lançada em um fórum de hackers chinês, de onde foi universalmente adotada por quase todos os atores de ameaças do mundo.

Os web shells podem ser escritos em qualquer linguagem de programação, de Go ao PHP. Isso permite que os invasores ocultem esses programas dentro do código de qualquer site sob nomes genéricos (como index.asp ou uploader.php), o que torna quase impossível a detecção por um operador humano sem a ajuda de um firewall da Web ou um scanner de malware da Web.

Os números supreendem à medida que representam uma ocorrência muito superior às registradas em qualquer relatório publicado anteriormente. Há poucos dias, por exemplo, a Sucuri, plataforma de segurança digital da GoDaddy, afirmou ter excluído aproximadamente 3.600 web shells de sites hackeados em 2019.

Reprodução

Imagem: Microsoft

Fonte: ZDNet