Un grupo de investigadores de WatchTowr Labs, en colaboración con The Shadowserver Foundation, logró identificar y neutralizar más de 4,000 puertas traseras web (web shells) activas pero abandonadas. Estos sistemas, que todavía mantenían comunicación con su infraestructura de comando y control (C2), fueron desactivados al registrar los dominios caducados utilizados por los atacantes para controlarlos.

Este esfuerzo no solo detuvo las actividades maliciosas asociadas con estas puertas traseras, sino que también evitó que estas infraestructuras cayeran en manos de actores de amenazas. Entre los sistemas comprometidos se encontraban servidores web de alto perfil, incluidos sistemas gubernamentales, judiciales y universitarios de varios países.

¿Qué son las puertas traseras web o web shells?

Las Webshells son scripts (código que contiene un conjunto de comandos a ejecutar) que se suben malintencionadamente en las páginas webs aprovechando alguna vulnerabilidad, cuya complejidad varía para realizar distintas acciones sobre el servidor que la soporta. Como ejemplo visual se muestra la siguiente imagen:

Las puertas traseras web son scripts o herramientas maliciosas instaladas en servidores web comprometidos. Permiten a los atacantes obtener acceso remoto no autorizado para ejecutar comandos, manipular archivos y realizar actividades maliciosas. Estas herramientas suelen ser utilizadas para mantener acceso persistente a los sistemas comprometidos, facilitando actividades como:

• Ejecutar comandos remotos.
• Exfiltrar datos confidenciales.
• Lanzar ataques adicionales, como movimientos laterales o escaladas de privilegios.

Algunos de los web shells más conocidos incluyen r57shell, c99shell y China Chopper, que ofrecen funcionalidades avanzadas como administración de archivos, ataques de fuerza bruta y ejecución de comandos remotos.

Cómo los investigadores identificaron las puertas traseras activas

El equipo de WatchTowr Labs centró su investigación en dominios asociados con infraestructuras de control de web shells abandonados. Mediante un análisis exhaustivo, identificaron dominios caducados que anteriormente se utilizaban para controlar estas puertas traseras. Posteriormente, los investigadores adquirieron y registraron más de 40 dominios, asumiendo el control de las comunicaciones entre el malware y sus sistemas de comando.

Una vez registrados los dominios, configuraron un sistema de monitoreo para recibir las solicitudes de los 4,000 sistemas comprometidos que intentaban «llamar a casa». Esto les permitió no solo identificar las víctimas, sino también analizar los diferentes tipos de puertas traseras en uso.

Resultados de la investigación: sistemas comprometidos y tipos de puertas traseras

El registro de dominios caducados permitió a los investigadores identificar un amplio rango de sistemas vulnerados, incluyendo:

• Infraestructura gubernamental:
  • China: Varias agencias gubernamentales, incluidos tribunales.
  • Nigeria: Sistemas del sistema judicial.
  • Bangladesh: Redes gubernamentales.
• Instituciones educativas:
  • Tailandia, China y Corea del Sur: Universidades y otras entidades académicas.

Entre los tipos de puertas traseras encontradas, se destacan:

1. r57shell: Un web shell clásico conocido por su simplicidad y eficiencia.
2. c99shell: Más avanzado, con capacidades como fuerza bruta y administración de archivos.
3. China Chopper: Ampliamente utilizado por grupos APT debido a su pequeño tamaño y versatilidad.

Un caso particular que destacó en el informe fue la identificación de una puerta trasera que mostró comportamiento asociado con el Grupo Lazarus, aunque los investigadores aclararon que probablemente se trató de la reutilización de herramientas del grupo por otros actores.

Prevención del uso indebido de dominios caducados

Para evitar que estos dominios caigan nuevamente en manos maliciosas, WatchTowr Labs entregó su gestión a The Shadowserver Foundation, una organización dedicada a mejorar la seguridad cibernética global. Shadowserver ahora utiliza técnicas de sinkholing para redirigir todo el tráfico de las puertas traseras hacia un entorno controlado, bloqueando cualquier actividad maliciosa adicional.

El riesgo de los dominios caducados en operaciones de malware

Esta investigación pone en evidencia cómo las infraestructuras maliciosas abandonadas, como los dominios caducados, aún pueden representar una amenaza significativa. Los actores de amenazas pueden simplemente registrar estos dominios y recuperar el control de las puertas traseras web, obteniendo acceso no autorizado a sistemas vulnerados de alto valor.

El esfuerzo conjunto de WatchTowr Labs y Shadowserver demuestra que la reutilización de dominios caducados no solo puede prevenir el abuso futuro, sino también interrumpir las actividades de los atacantes. Este enfoque es particularmente útil para proteger a las víctimas y minimizar el impacto de malware persistente.

Recomendaciones para organizaciones y administradores

1. Monitoreo de sistemas: Realizar auditorías regulares de servidores web para identificar web shells u otros indicadores de compromiso.
2. Actualización de sistemas: Asegurarse de que todos los sistemas y aplicaciones estén actualizados con los últimos parches de seguridad.
3. Control de dominios: Monitorear dominios asociados con infraestructuras críticas y renovar registros antes de que caduquen.
4. Prácticas de seguridad web: Implementar controles de acceso estrictos, firewalls de aplicaciones web (WAF) y herramientas de detección de intrusos.

https://labs.watchtowr.com/more-governments-backdoors-in-your-backdoors/