No aceptes cookies a la ligera: ahora pueden dar control total sobre tu sitio web
Microsoft advierte del aumento de ataques que emplean scripts autorreparables.
Según el informe de Microsoft, los ciberatacantes encontraron la forma de ocultar código malicioso donde casi nadie lo busca: directamente en los archivos cookie habituales. Ese enfoque les permite controlar servidores infectados casi sin ser detectados y volver a ellos una y otra vez.
Se trata de web shells en PHP – pequeños scripts maliciosos que proporcionan acceso remoto al servidor. Normalmente esos instrumentos aceptan comandos a través de la cadena de consulta o del cuerpo de la petición. Pero ahora los atacantes usan cada vez más los archivos cookie: mientras la petición no contenga el valor requerido, el código malicioso no se manifiesta y parece un archivo común.
Ese método reduce considerablemente las probabilidades de detección. Las cookies parecen parte del tráfico web normal, por lo que los sistemas de protección las revisan con menos frecuencia. Cuando el servidor recibe la cookie correcta, el script recopila las órdenes al vuelo y las ejecuta. Hasta ese momento el archivo permanece completamente silencioso.
En distintos ataques se han observado varias variantes de estos web shells. En algunos casos el código se ofuscaba adicionalmente: las funciones se ensamblaban en tiempo de ejecución y las partes importantes se ocultaban en forma codificada. A veces el script malicioso primero creaba otro archivo con la carga útil y lo ejecutaba. También hubo versiones más simples: con una sola clave en la cookie que permitía ejecutar comandos o cargar archivos.
Una técnica destacada es el método de persistencia en el sistema. Tras la intrusión, los atacantes no se limitan a un acceso puntual, sino que configuran la ejecución periódica de sus scripts mediante el planificador de tareas. Por ejemplo, agregan una tarea que cada pocos minutos recrea el archivo malicioso si lo han eliminado. Ese mecanismo se autorepara y complica la limpieza del servidor.
Además, los atacantes no siempre explotan vulnerabilidades complejas. A menudo basta con tener acceso a la cuenta de hosting. A través de las herramientas de gestión estándar, como el panel de administración, es posible ejecutar comandos, subir archivos y configurar tareas programadas. Desde fuera, esas acciones parecen trabajo normal de un usuario.
Los archivos maliciosos suelen crearse mediante comandos sencillos: los datos codificados se decodifican y se escriben en un archivo PHP directamente en el servidor. Luego ese archivo espera la cookie necesaria para activarse. En el funcionamiento habitual del sitio no llama la atención.
El objetivo principal de este esquema es mantener un acceso remoto persistente. Incluso si se cierra el punto de entrada, el atacante puede volver más tarde, ejecutar comandos, cargar nuevas herramientas o robar datos. En entornos de hosting compartido, con frecuencia basta con los permisos de un usuario común para ello.
Microsoft aconseja fortalecer la protección de cuentas, vigilar atentamente las tareas programadas y limitar la capacidad de los procesos web para ejecutar comandos en el sistema. También es importante supervisar operaciones sospechosas con archivos en el servidor, especialmente si están relacionadas con la decodificación de datos o la descarga de scripts desde la red.