¿Serán los webshells un desafío para las organizaciones para siempre?

0

Las únicas formas de detectar webshells hoy en día son mediante el uso de tecnologías FIM, que son un problema si comienza a implementarlas en sistemas "sucios". Literalmente, debe implementarlos en sistemas limpios para obtener una línea de base de cómo se ve un buen estado.

No solo eso, sino que la alternativa a las tecnologías FIM es utilizar algunas firmas o algunos sistemas de detección de anomalías, lo que no siempre le dará una solución (por ejemplo, si el atacante modificó el código de un archivo existente en lugar de agregar el suyo). webshell).

Entonces, hasta que se cree alguna nueva tecnología, ¿es esto seriamente en nuestra posición? El desafío está ahí, y los atacantes de hoy todavía usan webshells como una de sus armas principales en el arsenal adversario.

    
pregunta Franko 12.12.2016 - 15:12
fuente

2 respuestas

5

Webshells es una carga útil de ataque, no una vulnerabilidad. Si no tiene una vulnerabilidad que le permitiera al atacante instalar un webshell en primer lugar, entonces realmente no necesita preocuparse por los webshells.

Los detectores de Webshell pueden ser útiles para atrapar un ataque que ya ocurre. Pero si el atacante ya logra instalar un shell web, entonces el atacante ya está demasiado profundo para que puedas confiar en la máquina.

Otro uso de webshell es para sysadmin que utiliza un webshell para administrar sus máquinas, estas shells deben ejecutarse a través de HTTPS y deben estar autenticadas para evitar el abuso por parte de los atacantes. Si un atacante logra ingresar a uno de estos webshells legítimamente instalados, entonces es una vulnerabilidad en el mecanismo de autenticación que rodea al webshell, no debido al propio webshell.

    
respondido por el Lie Ryan 12.12.2016 - 15:26
fuente
0

No debería necesitar una detección avanzada de anomalías o firmas para detectar la presencia de códigos no autorizados en sus servidores. Hablando normalmente, su webroot debería ser estático después de la implementación, lo que significa que puede generar un HMAC basado en todo el contenido de su webroot.

Si sabe que no ha cambiado ningún archivo en su webroot y que obtiene el HMAC con el mismo secreto y obtiene un hash diferente, entonces sabe que se ha modificado algo.

    
respondido por el Alex Urcioli 12.12.2016 - 22:58
fuente

Lea otras preguntas en las etiquetas