Scribd
Cargar
49 vistas2 páginas

Actividad 4 Introducción Analisis Forense

El servidor web volvió a ser infectado con la misma webshell a pesar de haber sido parchado, posiblemente debido a que las aplicaciones web y la infraestructura tenían permisos excesivos que permitían modificaciones directas, abriendo la puerta a ciberdelincuentes. Para prevenir futuros ataques, es necesario identificar y corregir vulnerabilidades, implementar segmentación de red, habilitar antivirus, auditar registros y restringir accesos innecesarios.

Cargado por

luis fernando
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
49 vistas2 páginas

Actividad 4 Introducción Analisis Forense

El servidor web volvió a ser infectado con la misma webshell a pesar de haber sido parchado, posiblemente debido a que las aplicaciones web y la infraestructura tenían permisos excesivos que permitían modificaciones directas, abriendo la puerta a ciberdelincuentes. Para prevenir futuros ataques, es necesario identificar y corregir vulnerabilidades, implementar segmentación de red, habilitar antivirus, auditar registros y restringir accesos innecesarios.

Cargado por

luis fernando
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Una organización necesita realizar un análisis forense sobre un servidor web

que ha sido víctima de un ataque. Durante una inspección rápida, solo se


identificó una webshell que había sido instalada tras explotar una
vulnerabilidad del servidor.

Tras eliminar la webshell y parchear la vulnerabilidad el servidor volvió a


estar en producción, pero, al poco tiempo, la webshell volvía a instalarse en
el sistema.

¿Por qué crees qué podía volver a instalarse la webshell si el sistema ya fue
parcheado?

Este tipo de malware se introduce mediante vulnerabilidades presentes en:

 Aplicaciones web
 Malas prácticas de configuraciones de seguridad para servidores

Estos webshells también se introducen directamente a los sistemas y redes


que son víctimas, esto se da principalmente porque las aplicaciones web y su
infraestructura vulnerable tienen permisos para realizar modificaciones de forma
directa a un directorio web accesible, o bien, a piezas de código web. Sin
embargo, este tipo de permisos no debería concederse.

En consecuencia, los propios sistemas abren la puerta sin inconveniente


alguno a los cibercriminales para llevar a cabo los ataques. Por lo que se
recomienda bloquear los permisos de modificación. Ahora bien, si es que no existe
esa posibilidad, se cuenta con una alternativa.

Los ataques shell web pueden permitir a los actores de amenazas ejecutar
comandos de forma remota en un servidor y pueden causar graves perjuicios a las
organizaciones. Una cosa a tener en cuenta es que el malware basado en scripts
eventualmente se canaliza en algunos puntos como cmd.exe, powershell.exe y
cscript.exe.

En ese sentido la prevención es fundamental y Microsoft nos recomienda seguir


una serie de pautas:

 Hay que identificar y corregir vulnerabilidades o configuraciones incorrectas


en aplicaciones web y servidores web.
 Debemos implementar la segmentación adecuada de su red perimetral. El
objetivo es que un servidor web comprometido de nuestra organización no
ponga en riesgo al resto.
 Tenemos que habilitar la protección antivirus en los servidores web.
Además debemos activar la protección proporcionada en la nube para
obtener las últimas defensas contra las nuevas amenazas.
 En cuanto a los usuarios sólo deben poder cargar archivos en directorios
que puedan ser escaneados por un antivirus. Por otra parte también deben
estar configurados para no permitir la ejecución o secuencias de comandos
del lado del servidor.
 Hay que auditar y revisar los registros de los servidores web con frecuencia.
Tenemos que conocer que sistemas exponemos directamente a Internet.
 Debemos utilizar el Firewall de Windows Defender, los dispositivos de
prevención de intrusiones y su firewall de red para evitar la comunicación
del servidor de comando y control entre los puntos finales siempre que sea
factible.
 Tenemos que verificar el firewall perimetral y el proxy para restringir el
acceso innecesario a los servicios.
 Necesitamos una buena política de cuentas y de credenciales. Aquí es
importante limitar el uso de las cuentas de administrador local o de dominio
a las estrictamente necesarias.

También podría gustarte