Ir para o Conteúdo 1 Ir para a Página Inicial 2 Ir para o menu de Navegação 3 Ir para a Busca 4 Ir para o Mapa do site 5
Abrir menu principal de navegação
CTIR Gov - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo
Termos mais buscados
  • imposto de renda
  • inss
  • assinatura
  • cnh social
  • enem
Termos mais buscados
  • imposto de renda
  • inss
  • assinatura
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
    • Notícias
      • 2025
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Orientações para Notificação de Incidentes Cibernéticos ao CTIR Gov
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • Guia sobre Ransomware
  • GOV.BR
    • Serviços
      • Buscar serviços por
        • Categorias
        • Órgãos
        • Estados
      • Serviços por público alvo
        • Cidadãos
        • Empresas
        • Órgãos e Entidades Públicas
        • Demais segmentos (ONGs, organizações sociais, etc)
        • Servidor Público
    • Temas em Destaque
      • Orçamento Nacional
      • Redes de Atendimento do Governo Federal
      • Proteção de Dados Pessoais
      • Serviços para Imigrantes
      • Política e Orçamento Educacionais
      • Educação Profissional e Tecnológica
      • Educação Profissional para Jovens e Adultos
      • Trabalho e Emprego
      • Serviços para Pessoas com Deficiência
      • Combate à Discriminação Racial
      • Política de Proteção Social
      • Política para Mulheres
      • Saúde Reprodutiva da Mulher
      • Cuidados na Primeira Infância
      • Habitação Popular
      • Controle de Poluição e Resíduos Sólidos
    • Notícias
      • Serviços para o cidadão
      • Saúde
      • Agricultura e Pecuária
      • Cidadania e Assistência Social
      • Ciência e Tecnologia
      • Comunicação
      • Cultura e Esporte
      • Economia e Gestão Pública
      • Educação e Pesquisa
      • Energia
      • Forças Armadas e Defesa Civil
      • Infraestrutura
      • Justiça e Segurança
      • Meio Ambiente
      • Trabalho e Previdência
      • Turismo
    • Galeria de Aplicativos
    • Acompanhe o Planalto
    • Navegação
      • Acessibilidade
      • Mapa do Site
      • Termo de Uso e Aviso de Privacidade
    • Consultar minhas solicitações
    • Órgãos do Governo
    • Por dentro do Gov.br
      • Dúvidas Frequentes em relação ao Portal gov.br
      • Dúvidas Frequentes da conta gov.br
      • Ajuda para Navegar o Portal
      • Conheça os elementos do Portal
      • Política de e-participação
      • Termos de Uso
      • Governo Digital
      • Guia de Edição de Serviços do Portal Gov.br
    • Canais do Executivo Federal
    • Dados do Governo Federal
      • Dados Abertos
      • Painel Estatístico de Pessoal
      • Painel de Compras do Governo Federal
      • Acesso à Informação
    • Empresas e Negócios
Links Úteis
  • Galeria de Aplicativos
  • Participe
  • Galeria de Aplicativos
  • Participe
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Você está aqui: Página Inicial Assuntos Alertas e Recomendações Alertas 2016 ALERTA 01/2016
Info

Notícias

ALERTA 01/2016

Alerta referente ao frequente uso de Web Shells como vetor de exploração de servidores de páginas
Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
Publicado em 05/02/2016 00h00 Atualizado em 14/10/2021 14h43

Alerta referente ao frequente uso de Web Shells como vetor de exploração de servidores de páginas.

Presidência da República
Casa Militar
Departamento de Segurança da Informação e Comunicações
Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública  Federal
Alerta nº 01/2016 – Comprometimento de servidores de páginas com Web Shell 1. Descrição do Problema

Este alerta relata o frequente uso de Web Shells como vetor de exploração de servidores de páginas.

1.1 O que é um Web Shell

Web Shell é um código que pode ser carregado em um servidor de página para proporcionar administração remota do servidor. Ele é acessado via navegador como se fosse um acesso legítimo ao  sítio, iludindo as regras de segurança. Uma vez que o Web Shell está carregado no servidor, o atacante  utiliza técnicas de exploração para escalar privilégios, executar comandos e scripts, acessar e extrair  arquivos do servidor, além de explorar a rede da organização.

Exemplos de Web Shells :

∙ China Chopper – um programa pequeno e repleto de recursos, tais como de comando e  controle e capacidade de força bruta em senhas;

∙ WSO – mascara-se como uma página de erro e contém um formulário de login escondido; ∙ C99 – versão do WSO com funcionalidades adicionais;

∙ B374K - baseado em PHP com funcionalidades comuns, tais como, visualização de  processos e execução de comandos.

2. Possíveis Riscos

∙ Controle total do servidor;

∙ Obtenção de dados sensíveis e credencias de acesso;

∙ Execução de programas maliciosos;

∙ Roubo de informações da organização;

∙ Porta de entrada para ataques mais sofisticados;

∙ Utilização da infraestrutura da organização para ataques a outras organizações e cidadãos. 3. Ameaças

Os Web Shells são carregados nos servidores de página através de exploração de vulnerabilidades ou falhas de configuração tanto das aplicações quanto dos servidores, incluindo:

∙ Cross-Site Scripting ;

∙ SQL Injection ;

∙ Aplicações e serviços com vulnerabilidades, por exemplo: WordPress, Joomla, Moodle; ∙ Vulnerabilidades no processamento de arquivos, como por exemplo: permissão para  uploads de arquivos sem filtros e controle de privilégio;

∙ Vulnerabilidades de Remote File Include (RFI) e Local File Include (LFI);

∙ Interfaces de administração expostas.

4. Sugestões para Mitigação do Problema

a. Antes da inserção do Web Shell no servidor, normalmente ocorrem ataques que exploram as  vulnerabilidades ou falhas de configuração das aplicações e dos servidores. Portanto, é importante identificar e corrigir as vulnerabilidades para evitar possíveis comprometimentos. Deste modo,  recomenda-se:

∙ Manter as aplicações, serviços e sistema operacional atualizados, para proteger de  vulnerabilidades conhecidas, que possuem exploits de fácil utilização e alta efetividade; ∙ Aplicar uma política de privilégios mínimos no servidor de página para:

o Reduzir a capacidade do atacante de escalar privilégio ou explorar outros usuários  no mesmo nível;

o Controlar a criação e execução de arquivos em diretórios.

∙ Subdividir a rede da organização, dificultando o acesso do atacante a redes com  informações sensíveis;

∙ Certificar-se da configuração segura dos servidores;

∙ Utilizar sistemas de filtragem de conteúdo, como firewalls de aplicação;

∙ Utilizar sistemas de identificação de alteração de arquivos, em momentos não autorizados  ou informados; e

∙ Definir e executar protocolos de busca e correção de vulnerabilidades nas aplicações.

b. Devido a simplicidade e dinamicidade na utilização dos Web Shells , eles podem ser de difícil  detecção. Os indicadores a seguir podem indicar que seu sistema tenha sido infectado por um web  shell :

∙ Períodos anormais de alto uso do sítio (devido às atividades upload e download); ∙ Os arquivos com timestamp incomum (por exemplo, mais recente que a última atualização  das aplicações web instaladas);

∙ Arquivos com referências a palavras-chave suspeitas, tais como: cmd.exe, eval,  base64_decode;

∙ Conexões inesperadas nos logs. Por exemplo:

o Um tipo de arquivo gerando tráfego de rede inesperado ou anormal (por exemplo,  conexões POST a arquivo JPG);

o Logins suspeitos provenientes de subredes internas para servidores DMZ e vice versa; e

∙ Quaisquer evidências de execução de comandos, como mudança de diretório, listagem de  arquivos, no corpo das URLs requisitadas aos servidores de página.

5. Referências:

https://www.us-cert.gov/ncas/alerts/TA15-314A

http://asd.gov.au/publications/protect/securing-cms.htm

https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-china-chopper.pdf https://www.owasp.org/images/c/c3/ASDC12-

Old_Webshells_New_Tricks_How_Persistent_Threats_haverevived_an_old_idea_and_how_you_can_det ect_them.pdf

https://www.fireeye.com/blog/threat-research/2013/08/breaking-down-the-china-chopper-web-shell-part i.html

https://www.fireeye.com/blog/threat-research/2013/08/breaking-down-the-china-chopper-web-shell-part ii.html

http://www.stratigery.com/phparasites/wso.html

http://resources.infosecinstitute.com/web-shell-detection/

Brasília-DF, 22 de fevereiro de 2016.

Equipe do CTIR Gov

Arquivo PDF Original deste ALERTA 01/2016

Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
    • Notícias
      • 2025
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Orientações para Notificação de Incidentes Cibernéticos ao CTIR Gov
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • Guia sobre Ransomware
Redefinir Cookies
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Acesso àInformação
Todo o conteúdo deste site está publicado sob a licença Creative Commons Atribuição-SemDerivações 3.0 Não Adaptada.
Voltar ao topo da página
Fale Agora Refazer a busca