يقول الخبراء إن صدفات الويب، وهي نوع شائع من أدوات ما بعد الاستغلال التي توفر واجهة سهلة الاستخدام يمكن من خلالها إصدار الأوامر إلى خادم مخترق، أصبحت ذات شعبية متزايدة حيث أصبح المهاجمون أكثر وعيًا بالسحابة.
شوهدت مؤخرًا قشرة ويب تُعرف باسم WSO-NG وهي تخفي موقع تسجيل الدخول الخاص بها كصفحة البداية 404 "لم يتم العثور على الصفحة"، وتجمع معلومات حول الأهداف المحتملة من خلال خدمات مشروعة مثل VirusTotal، وتبحث عن البيانات الوصفية المتعلقة بخدمات Amazon Web Services كمسار لسرقة بيانات اعتماد المطورين، حسبما ذكرت شركة إدارة الإنترنت Akamai في تحليل نشر في 22 نوفمبر. تم نشر أغلفة الويب الأخرى بواسطة عصابات برامج الفدية Cl0p وC3RB3R، والتي استغلت الأخيرة الخوادم التي تشغل خادم مؤسسة Atlassian Confluence في حملة استغلال واسعة النطاق في وقت سابق من هذا الشهر.
يقول مكسيم زافودتشيك، مدير أبحاث التهديدات في Akamai، إن صدفات الويب أصبحت وسيلة سهلة الاستخدام لإصدار الأوامر إلى الخوادم المخترقة، حيث يستهدف المهاجمون بشكل متزايد الموارد السحابية.
ويقول: "اليوم، أصبح سطح الهجوم الذي تسمح به تطبيقات الويب - وليس واجهات برمجة التطبيقات فقط - كبيرًا حقًا". "لذا، عندما تستغل ثغرة أمنية على الويب، ستكون الخطوة التالية الأسهل هي نشر منصة ويب - وهي عملية زرع، وهو شيء ليس ثنائيًا، ولكنه يتحدث نفس لغة خادم الويب."
ركز Akamai على WSO-NG بعد استخدامه في حملة ضخمة استهداف متاجر التجارة الإلكترونية Magento 2، لكن المجموعات الأخرى تستخدم أغلفة ويب مختلفة. على سبيل المثال، أسقطت مجموعة برامج الفدية Cl0p قذائف DEWMODE وLEMURLOOT Web، على التوالي، بعد استغلال الثغرات الأمنية في Kiteworks Accellion FTA في عام 2020 وخدمة نقل الملفات المدارة MOVEit من Progress Software في مايو، وفقًا لـ تحليل يونيو 2023 من قبل شركة الشبكات F5.
في عام 2021، أشارت مايكروسوفت إلى أن استخدام هياكل الويب قد زاد بشكل كبير، حيث شهدت الشركة ما يقرب من ضعف مواجهات هياكل الويب على الخوادم الخاضعة للمراقبة مقارنة بالعام السابق، حسبما ذكرت الشركة. ذكر في التحليل. البيانات الأحدث غير متوفرة.
"تسمح صدفات الويب للمهاجمين بتشغيل أوامر على الخوادم لسرقة البيانات أو استخدام الخادم كمنصة إطلاق لأنشطة أخرى مثل سرقة بيانات الاعتماد، أو الحركة الجانبية، أو نشر حمولات إضافية، أو النشاط العملي على لوحة المفاتيح، مع السماح للمهاجمين بـ ذكرت مايكروسوفت في تحليلها أن الفيروس يستمر في منظمة متأثرة.
مخفي ومجهول
أحد أسباب لجوء المهاجمين إلى صدفات الويب هو قدرتهم على البقاء تحت الرادار. من الصعب اكتشاف أغلفة الويب باستخدام تقنيات التحليل الثابت، نظرًا لسهولة تعديل الملفات والتعليمات البرمجية. علاوة على ذلك، فإن حركة مرور الويب - لأنها مجرد HTTP أو HTTPS - تندمج تمامًا، مما يجعل من الصعب اكتشافها من خلال تحليل حركة المرور، كما يقول Zavodchik من Akamai.
ويقول: "إنهم يتواصلون عبر نفس المنافذ، وهي مجرد صفحة أخرى من الموقع". "إنها ليست مثل البرامج الضارة الكلاسيكية التي ستفتح الاتصال مرة أخرى من الخادم إلى المهاجم. المهاجم يتصفح الموقع فقط. لا يوجد أي اتصال ضار، لذلك لا تنتقل أي اتصالات شاذة من الخادم إلى المهاجم.
بالإضافة إلى ذلك، نظرًا لوجود عدد كبير جدًا من صدفات الويب الجاهزة للاستخدام، يمكن للمهاجمين استخدامها دون إخطار المدافعين بهويتهم. على سبيل المثال، يتوفر WSO-NG Web shell على GitHub. وكالي لينكس مفتوح المصدر؛ إنها توزيعة Linux تركز على توفير أدوات سهلة الاستخدام للفرق الحمراء والعمليات الهجومية، وتوفر 14 غلاف ويب مختلفًا، مما يمنح مختبري الاختراق القدرة على تحميل وتنزيل الملفات وتنفيذ الأوامر وإنشاء قواعد البيانات والمحفوظات والاستعلام عنها.
يقول زافودتشيك: "عندما ينتقل ممثلو تهديد التهديدات المستمرة المتقدمة... من عمليات زرع ثنائية مصممة خصيصًا إلى أغلفة الويب - إما أغلفة الويب الخاصة بهم أو بعض أغلفة الويب العامة - لا يمكن لأحد أن ينسب هذه العوامل إلى مجموعات محددة".
الدفاع بيقظة مشبوهة
أفضل الدفاعات هي مراقبة حركة مرور الويب بحثًا عن الأنماط المشبوهة ومعلمات URL الشاذة وعناوين URL وعناوين IP غير المعروفة. يعد التحقق من سلامة الخوادم أيضًا تكتيكًا دفاعيًا رئيسيًا، كما كتب مالكولم هيث، أحد كبار الباحثين في مجال التهديدات في F5 Networks، في منشور في يونيو على Web shells.
وذكرت الشركة أن "مراقبة محتوى الدليل هي أيضًا طريقة جيدة، وتوجد بعض البرامج التي يمكنها اكتشاف التغييرات في الأدلة المراقبة على الفور واستعادة التغييرات تلقائيًا". "بالإضافة إلى ذلك، تسمح بعض الأدوات الدفاعية باكتشاف إنشاء العمليات الشاذة."
تتضمن الطرق الأخرى التركيز على اكتشاف الوصول الأولي ونشر غلاف الويب. تعد جدران الحماية لتطبيقات الويب (WAFs)، مع قدرتها على مراقبة تدفقات حركة المرور، بمثابة إجراءات دفاعية قوية أيضًا.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :يكون
- :ليس
- 14
- 2020
- 2021
- 2023
- 7
- a
- القدرة
- من نحن
- الوصول
- وفقا
- أنشطة
- نشاط
- الجهات الفاعلة
- إضافة
- إضافي
- وبالإضافة إلى ذلك
- عناوين
- تتأثر
- بعد
- السماح
- السماح
- يسمح
- أيضا
- أمازون
- أمازون ويب سيرفيسز
- an
- تحليل
- و
- آخر
- واجهات برمجة التطبيقات
- تطبيق
- التطبيقات
- نهج
- APT
- أرشيف
- هي
- AS
- At
- مهاجمة
- تلقائيا
- متاح
- الى الخلف
- BE
- لان
- أصبح
- كان
- أفضل
- يمزج
- لكن
- by
- الحملات
- CAN
- التغييرات
- كلاسيكي
- سحابة
- الكود
- مشترك
- التواصل
- حول الشركة
- مقارنة
- تسوية
- احتشاد
- صلة
- التواصل
- محتوى
- استطاع
- خلق
- خلق
- الاعتماد
- أوراق اعتماد
- البيانات
- قواعد البيانات
- المدافعين عن حقوق الإنسان
- دفاعي
- نشر
- نشر
- نشر
- بكشف أو
- كشف
- المطورين
- مختلف
- مدير المدارس
- الدلائل
- توزيع
- مضاعفة
- بإمكانك تحميله
- بشكل كبير
- إسقاط
- التجارة الإلكترونية
- في وقت سابق
- أسهل
- سهل
- سهلة الاستخدام
- إما
- مشروع
- مثال
- تنفيذ
- يوجد
- خبرائنا
- استغلال
- استغلال
- استغلال
- العوامل
- قم بتقديم
- ملفات
- الجدران النارية
- شركة
- يطفو
- ركز
- التركيز
- متابعيك
- في حالة
- وجدت
- تبدأ من
- ربح
- عصابات
- جمع
- GitHub جيثب:
- إعطاء
- Go
- خير
- تجمع
- مجموعات
- نابعة
- كان
- الثابت
- يملك
- he
- HTTP
- HTTPS
- هوية
- فورا
- in
- تتضمن
- على نحو متزايد
- معلومات
- في البداية
- مثل
- سلامة
- السطح البيني
- Internet
- IP
- عناوين الانترنت بروتوكول
- قضية
- إصدار
- IT
- انها
- JPG
- يونيو
- م
- القفل
- معروف
- لغة
- كبير
- إطلاق
- شرعي
- مثل
- لينكس
- تسجيل الدخول
- بحث
- القيام ب
- البرمجيات الخبيثة
- تمكن
- إدارة
- كثير
- كتلة
- هائل
- حكمة
- مايو..
- الإجراءات
- البيانات الوصفية
- طرق
- مایکروسافت
- تعديل
- مراقبة
- مراقبة
- شهر
- الأكثر من ذلك
- علاوة على ذلك
- خطوة
- حركة
- تقريبا
- الشبكات
- الشبكات
- التالي
- لا
- وأشار
- نوفمبر
- of
- خصم
- هجومي
- on
- ONE
- جاكيت
- المصدر المفتوح
- عمليات
- or
- منظمة
- أخرى
- الخاصة
- وسادة
- صفحة
- المعلمات
- ممر
- أنماط
- اختراق
- إصرار
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- الرائج
- الموانئ
- منشور
- نشر
- محتمل
- قبل
- عملية المعالجة
- البرامج
- التقدّم
- ويوفر
- توفير
- رادار
- الفدية
- RE
- في الحقيقة
- سبب
- الأخيرة
- مؤخرا
- أحمر
- ذات صلة
- بحث
- الباحث
- الموارد
- على التوالي
- حق
- لفة
- يجري
- تشغيل
- s
- نفسه
- قول
- يقول
- مسح
- رؤية
- رأيت
- كبير
- الخادم
- خوادم
- الخدمة
- خدماتنا
- قذيفة
- الموقع
- So
- تطبيقات الكمبيوتر
- الصلبة
- بعض
- شيء
- التكلف
- مصدر
- خصيصا
- محدد
- ذكر
- ساكن
- إقامة
- الشبح الأسود
- خطوة
- هذه
- المساحة
- مشكوك فيه
- تناسب
- اتخذت
- محادثات
- الهدف
- الأهداف
- فريق
- تقنيات
- اختبار
- أن
- •
- سرقة
- من مشاركة
- منهم
- هناك.
- هم
- هؤلاء
- التهديد
- الجهات التهديد
- عبر
- إلى
- اليوم
- أداة
- أدوات
- حركة المرور
- تحويل
- نوع
- مع
- غير معروف
- URL
- تستخدم
- التحقق
- نقاط الضعف
- الضعف
- وكان
- طريق..
- الويب
- تطبيق ويب
- تطبيقات الويب
- خادم الويب
- خدمات ويب
- شبكة المرور
- الموقع الإلكتروني
- متى
- التي
- في حين
- سوف
- مع
- بدون
- كتب
- عام
- أنت
- زفيرنت