Los investigadores de seguridad cibernética han descubierto un sofisticado ataque de shell web shell dirigido a servidores de Servicios de Información de Internet de Microsoft (IIS), lo que permite a los actores de amenaza lograr un control remoto completo sobre los sistemas comprometidos.
El script malicioso, identificado como “UpdateChecker.aspx”, representa una escalada significativa en la complejidad de la capa web, empleando técnicas de ofuscación avanzadas para evadir la detección mientras mantiene el acceso persistente a la infraestructura crítica.
El ataque surgió de una investigación más amplia sobre intrusiones cibernéticas dirigidas a la infraestructura nacional crítica en el Medio Oriente, donde los actores de amenaza desplegaron con éxito múltiples servidores de shell web en los sistemas comprometidos.
A diferencia de los shells web tradicionales que dependen de scripts PHP o ASP simples, esta variante aprovecha fuertemente el código C# integrado en un archivo de página web ASPX, lo que hace que el análisis sea considerablemente más desafiante para los equipos de seguridad.
Vista del contenido del archivo ASPX con el código C# ofuscado (fuente – Fortinet)
Investigadores de Fortinet Xiaopeng Zhang y John Simmons identificado El malware durante su análisis de seguimiento de la violación de la infraestructura de Medio Oriente, señalando su diseño sofisticado y su impacto potencialmente devastador en las organizaciones afectadas.
La capacidad del shell web para operar perfectamente dentro de los entornos de Windows IIS mientras se mantiene sigiloso a través de técnicas de ofuscación avanzada lo hace particularmente peligroso para los entornos empresariales.
El malware opera con implicaciones de alta gravedad, otorgando a los atacantes un control integral sobre los sistemas de Windows comprometidos.
Vista del depurador de los datos de comando analizados en el shell web (fuente – Fortinet)
Su implementación se dirige específicamente a los servidores IIS, que se usan comúnmente en entornos empresariales para alojar aplicaciones y servicios web, lo que lo convierte en un activo valioso para los actores de amenazas que buscan establecer una persistencia a largo plazo dentro de las redes organizacionales.
Arquitectura técnica y mecanismos de ofuscación
El shell web UpdateChecker.aspx demuestra una notable sofisticación técnica a través de su enfoque de ofuscación de varias capas.
La base de código C# del malware emplea la codificación unicode para todos los elementos legibles, incluidos los nombres de métodos, los nombres de variables y los nombres de clases, que se generan aleatoriamente para evitar la detección basada en la firma. Además, todos los valores constantes, cadenas y datos numéricos experimentan procesos de cifrado o codificación antes de la compilación.
El protocolo de comunicación del shell web requiere solicitudes de publicación HTTP con encabezados de tipo de contenido específicos establecidos en “Application/Octet-Stream”.
El HTTP post tráfico entre el atacante y el shell web (fuente – Fortinet)
La transmisión de datos de comandos sigue un formato JSON estructurado que incluye claves obligatorias como protocolversión, nombre de modulen y nombre, junto con parámetros opcionales dependiendo de la operación solicitada.
ModuleNameRequestNameParametersBaseGetBasicServerInfoBaseGetBasicServerApplicationInfoCommandShellExecuteCommandWorkingDirectory, CommandFileManagerGetDrivesFileManagerGetDriveInformationDriveNameFileManagerGetWebRootFileManagerGetFileSystemsListPathFileManagerCreateDirectoryPath, DirectoryNameFileManagerCopyDirectorySourcePath, DestinationPath, DirectoryName, OverwriteAllowFileManagerMoveDirectorySourcePath, DestinationPath, DirectoryName, OverwriteAllowFileManagerDeleteDirectoryPathFileManagerGetDirectoryInformationPathFileManagerSetDirectoryTimePath, CreationTimeUtc, LastModifiedTimeUtc, lastAccessTimeUtcFilemanagersetDirectoryAttributesPath, AttributesFilemanaGreateFilepath, FileMeFilemanagerCopyFilesurCePath, DestinationPath, OverwritealLow, FileFilemanAgermoveFilesOurcePath, Destinationpath, OverwriteAllow, FileNameFilemanagerDeleteFilePathFilemanagergetFileContentPathFilemanagerSetFileContentPath, FileContent, FileNameFilemanagergetFileInformationPathFilemanagerSetFiletImepath, CreationTimeUtc, LastModifiedTimEutc, LastAccessTimEutCfileMeGerSetFileatEtteSpathes. ATRIBUTOSFILEGERSEARCHBYNAMEPATH, Palabra clave, Matchcase, MatchWordFilemanageSearchByContentPath, filetypes, palabra clave, matchcaseFilemanageRePrePlaceFilecontentPath, filetypes, FIGHWAT, reemplazar, Matchcase, UseregulareExpressionFilemanagerGetPathSeParator
El malware implementa un esquema de deninación dual donde los primeros 16 bytes contienen una clave encriptada que usa valores codificados, seguidos de datos de comando encriptados con una clave derivada de 15 bytes.
Funcionalmente, el shell web organiza sus capacidades en tres módulos distintos: base para el reconocimiento del sistema, Shell de comandos para ejecutar comandos de Windows con privilegios IIS y Filemanager para operaciones integrales del sistema de archivos.
Esta arquitectura modular permite a los atacantes realizar diversas actividades maliciosas, desde la enumeración del sistema inicial hasta la manipulación de archivos avanzada y la ejecución de comandos, todo mientras mantiene la aparición de una actividad legítima del servidor IIS.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
