Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 23 de mayo de 2009

PHP Shell Attack II - Dive Shell

Los aplicativos escritos en php que permiten ejecutar comandos en equipos vulnerados a través de una shell remota (backdoor) previamente implantada no es un concepto nuevo. De hecho, los defacer las utilizan para desfigurar sitios web (una filosofía un tanto olvidada limitada tan sólo a algunos "nostálgicos" hacktivistas y a prematuros aspirantes a ciberdelincuentes).

Si bien son conceptos diferentes, quizás se podría decir que estos aplicativos escritos en PHP son el hermano "antiguo" de los paquetes crimeware que conocemos hoy y que permiten, no sólo hacer defacing sino que también ejecutar diferentes amenazas a través de diferentes técnicas de ataque e intrusión con herramientas como ZeuS, YES, Unique, Adrenalin, entre tantas otras.

Los grupos de ciberdelincuentes que se dedican a estas actividades suelen desarrollar sus propias armas: las shell en php. Muchos pensarán que para estos casos, hablar de ciberdelincuentes es un poco extremo, pero si consideramos que un defacing es una intrusión no autorizada y bajo ese concepto, por más que se argumente ser una especie de "auditoria" que intenta descubrir las vulnerabilidades para que el webmaster del sitio (o el administrador del servidor) las solucione o que sólo es una faceta destinada a "observar" los sistemas, la intrusión no deja de ser una acción poco ética e ilegal dependiendo el país donde se realice.

En este caso, la aplicación llamada Dive Shell fue creada por un grupo de defacers llamado Emperor Hacking Team que, entre otras cosas, son autores de desfiguraciones como las siguientes:

La interfaz del backdoor escrito en php es la siguiente:

La aplicación, que trabaja desde el servidor, permite la ejecución de comandos sin importar la plataforma en la que se opere, lo que evidentemente constituye un grave peligro en los servidores débiles.

Aunque el defacing parezca ser una actividad olvidada, la realidad es que constantemente se realizar desfiguraciones de sitios web y de manera esporádica suelen aparecer algunos; sin embargo, casos recientes como el ejecutado contra el NIC de Ecuador o el de Google Marruecos, pueden despertar de manera potencial una "moda" causando un efecto retro, sobre todo en los medios de información.

Información relacionada
PHP Shell Attack I - SimShell
Desfiguración de sitios web III

# pistus

Ver más