Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 13 de mayo de 2009

PHP Shell Attack I - SimShell

Cuando un atacante logra violar los esquemas de protección implementados en un entorno de información, casi con seguridad, lo primero que intentará hacer es implantar "algo" que le permita acceder de manera remota a ese sistema de información, las veces que quiera y desde donde se encuentre.

Básicamente estamos hablando de un backdoor. Una shell en PHP es una aplicación que implantada en, p.e., un servidor vulnerado, cumple la función de acceso "alternativo" al sistema. Existe una cantidad importante de este tipo de aplicativos (r57shell, c99shell, NShell, s72shell, etc.) que muchas veces son empleados para realizar defacing, como el que sucedió recientemente con Google de Marruecos. Pero también para implantar malware.

Una de las tantas es SimShell desarrollada por el grupo llamado Simorgh Security de origen Iraní.

Autores también de otra aplicación similar llamada SimAttacker.

Si bien a simple vista parece muy sencilla, de hecho lo es, también es muy peligrosa porque supone la posibilidad de que el atacante pueda ejecutar comandos en el equipo comprometido, por lo generar servidores que son atacados, por ejemplo, a través ataques de Inclusión Remota de Archivos (Remote File Inclusion).

Actualmente esta aplicación posee un muy bajo índice de detección por parte de las firmas antivirus y, contrariamente, un alto porcentaje de utilización por parte de ciberdelincuentes, sumándose a la lista de crimeware como uno de los hermanos más pequeños de los Kits automatizados de administración vía web.

Información relacionada
Scripting attack. Explotación múltiple de vulnerabilidades

# pistus

Ver más