Ataque y defensa de React2Shell siguiendo el modelo CyberKillChain

Análisis de React2Shell bajo la Cyber Kill Chain. Incluye explotación automatizada con n8n y Threat Hunting defensivo usando reglas Sigma y SOC Prime para detectar IOCs.

Detalles

En esta charla analicé a fondo React2Shell, una vulnerabilidad crítica que afecta a los entornos de React Server Components y Next.js. Utilizando el modelo de la Cyber Kill Chain, desglosé el ciclo de vida completo del ataque para entender cómo operan los cibercriminales y cómo defender aplicaciones modernas de manera proactiva. El proyecto se estructuró en las siguientes áreas clave: Red Teaming y Explotación Automatizada: La demostración comenzó con la fase de reconocimiento utilizando Shodan para mapear servidores vulnerables. Para las etapas de Weaponization y Delivery, diseñé un workflow de explotación automatizada utilizando n8n. Esto permitió agilizar la entrega del payload mediante peticiones POST maliciosas , logrando una ejecución de código remota (RCE) de forma eficiente y escalable. Comando y Control (C2): Tras vulnerar el objetivo, demostré cómo establecer persistencia y control de la infraestructura utilizando el framework Sliver, lo que permite ejecutar acciones directas sobre los sistemas comprometidos (Actions on Objective). Blue Teaming y Threat Hunting: Desde la perspectiva defensiva, el enfoque estuvo en cazar la amenaza de forma temprana. Utilicé la plataforma SOC Prime y desarrollé detecciones basadas en el estándar de reglas Sigma para identificar Indicadores de Compromiso (IOCs) específicos durante las fases de Delivery y Exploitation. Además, validé estas detecciones mediante Pruebas de Concepto (PoC) analizando los logs de eventos a través de Splunk. Análisis de Amenazas Avanzadas (APTs): Como contexto de inteligencia, expuse cómo grupos APT reales están abusando activamente de React2Shell. Estudiamos campañas de espionaje como MINOCAT (UNC6600) y SNOWLIGHT (UNC6586) , además de tácticas evasivas de última generación, como el uso de infraestructura C2 inmutable sobre la Blockchain de Ethereum, empleada por actores de amenazas de Corea del Norte (DPRK) Link al blog con los recursos usados https://old.saltacybersecurity.club/elementor-21177/ Link a las diapositivas https://docs.google.com/presentation/d/1giVzWA2x_8HuQLp9P6XWOGW2FldeE-S6Eii6XA-KIpI/edit?slide=id.g2c0f67ac148_0_0#slide=id.g2c0f67ac148_0_0