Web Shell

Una web shell è uno degli strumenti più semplici e, allo stesso tempo, più pericolosi nell'arsenale di un attaccante. Dopo aver violato un'applicazione web, l'attaccante lascia cadere un piccolo script in una directory che il server web eseguirà, e da quel momento il sito pubblico funziona anche come una console di comandi privata. Ogni istruzione viaggia come una normale richiesta web, così il server continua a servire pagine agli utenti reali mentre esegue in silenzio i comandi dell'attaccante. Questo mix di persistenza e furtività è il motivo per cui le web shell compaiono in così tanti report di violazione.

Come funziona una web shell

Una web shell non è altro che codice che il server è disposto a eseguire. Per prima cosa l'attaccante ha bisogno di un modo per depositare quel codice su disco, che arriva quasi sempre da un exploit contro l'applicazione o il suo stack: un upload di file senza restrizioni, una SQL injection che scrive un file, un plugin vulnerabile o software server non aggiornato. Non appena lo script si trova in una cartella raggiungibile dal web, l'attaccante visita il suo URL e gli passa comandi tramite parametri, header o il corpo della richiesta.

Da lì, il server diventa un punto d'appoggio. L'attaccante può leggere file, raccogliere credenziali e saltare verso i sistemi interni, il tutto mentre il traffico sembra normale attività web. Poiché lo script vive sul server e non in una singola sessione, l'accesso sopravvive ai riavvii e persino ad alcuni tentativi di pulizia, ed è proprio questo a renderlo prezioso.

Perché corrisponde alla tecnica MITRE ATT&CK T1505.003

Mappare un'intrusione reale su T1505.003 dà ai difensori un linguaggio condiviso. Permette a un SOC di confrontare i propri rilevamenti con la threat intelligence pubblicata, allineare gli indicatori con altre organizzazioni e ragionare su ciò che l'attaccante farà probabilmente dopo.

Questa tecnica è anche sempre più facile da distribuire su larga scala. Nei dati di Anthropic, il deployment di web shell (T1505.003) è risultato da 3 a 5 volte più frequente tra gli attori a più alto rischio assistiti dall'IA rispetto alle intrusioni ordinarie, uno schema che analizziamo nel nostro approfondimento su come gli hacker usano l'IA. Quando gli strumenti riducono lo sforzo necessario per armare un punto d'appoggio, quel punto d'appoggio compare molto più spesso.

Rilevare e rimuovere le web shell

Sfruttare l'app web

→caricare

Piazzare la web shell

→accedere

Eseguire comandi e pivotare

→rilevare

Cacciare, contenere, bonificare

Il rilevamento si appoggia a diversi segnali che si rafforzano a vicenda:

• Monitoraggio dell'integrità dei file che segnali script nuovi o modificati nelle directory di upload e nella web root.
• Analisi dei log del server web alla ricerca di URL sconosciuti, user-agent insoliti o richieste con parametri simili a comandi.
• Threat hunting delle tracce comportamentali che una web shell lascia non appena inizia a eseguire comandi.

La web shell resiste perché è economica da distribuire e silenziosa da gestire. I difensori non vincono inseguendo singoli script, ma riducendo l'esposizione che permette loro di atterrare e sorvegliando il comportamento che non possono nascondere una volta in esecuzione.