det0394-web-shell-detection-via-server-behavior-and-file-execution-chains

# DET0394 — Web Shell Detection via Server Behavior and File Execution Chains ## Descrição Web shells são scripts maliciosos (PHP, ASP, ASPX, JSP, Python) instalados em servidores web após exploração de vulnerabilidades de upload arbitrário de arquivo, RCE, ou inclusão de arquivo remoto. Uma vez implantados, fornecem ao adversário acesso interativo ao servidor via interface web, permitindo execução de comandos, upload/download de arquivos, acesso ao sistema de arquivos, e pivotamento para a rede interna — tudo através de requisições HTTP legítimas. CVEs como [[cve-2021-26855|CVE-2021-26855]] (Exchange ProxyLogon), [[cve-2022-26134|CVE-2022-26134]] (Confluence), e vulnerabilidades em CMS como WordPress e Joomla são vetores frequentes de implantação. A detecção via comportamento de servidor foca na cadeia de execução anômala: processo web (`httpd`, `nginx`, `tomcat`, `IIS`) criando processos filhos inesperados (`cmd.exe`, `bash`, `powershell.exe`), realizando operações de sistema de arquivos fora do webroot, ou estabelecendo conexões de rede de saída. Essa linhagem de processo é o indicador mais robusto de web shell ativo. Complementarmente, análise de logs de acesso web pode identificar padrões de acesso a arquivos PHP/ASP não referênciados por outras páginas, agentes de usuário incomuns, e parâmetros POST anômalos. A estratégia correlaciona linhagem de processo de servidor web, análise de arquivos criados no webroot por processos de upload, e análise de conteúdo estático em busca de padrões característicos de web shells conhecidos (china chopper, WSO, b374k). ## Indicadores de Detecção - Processo `w3wp.exe`, `httpd`, `nginx` ou `tomcat` criando processo filho `cmd.exe` ou `bash` - Arquivo PHP/ASPX criado em webroot por processo de servidor web (RCE → write de web shell) - Requisição HTTP POST para arquivo em webroot sem histórico de tráfego legítimo correspondente - User-Agent incomum (curl, Python requests) acessando arquivos PHP com parâmetros codificados - Processo de servidor web realizando conexões TCP de saída para IPs externos (reverse shell via web shell) - Arquivo com conteúdo contendo `passthru`, `system`, `shell_exec` em webroot criado recentemente ## Técnicas Relacionadas - [[T1505003-web-shell|T1505.003 — Web Shell]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[T1059004-unix-shell|T1059.004 — Unix Shell]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1133-external-remote-services|T1133 — External Remote Services]] ## Analytics Relacionadas - [[an1108-analytic-1108|AN1108 — Analytic 1108]] - [[an1109-analytic-1109|AN1109 — Analytic 1109]] - [[an1110-analytic-1110|AN1110 — Analytic 1110]] --- *Fonte: [MITRE ATT&CK — DET0394](https://attack.mitre.org/detectionstrategies/DET0394)*