Web-skaller, en almindelig type post-udnyttelsesværktøj, der giver en brugervenlig grænseflade til at udstede kommandoer til en kompromitteret server, er blevet mere og mere populær, efterhånden som angribere bliver mere cloud-bevidste, siger eksperter.
En web-skal kendt som WSO-NG blev for nylig set forklædte sit login-sted som en 404 "Page Not Found"-splash-side, der indsamler oplysninger om potentielle mål gennem legitime tjenester såsom VirusTotal og scanner for metadata relateret til Amazon Web Services som en sti. at stjæle udvikleres legitimationsoplysninger, oplyste internetadministrationsfirmaet Akamai i en analyse lagt ud den 22. november. Andre web-skaller er blevet implementeret af Cl0p- og C3RB3R-ransomware-banderne, sidstnævnte som udnyttede servere, der kører Atlassian Confluence enterprise-server i en masseudnyttelseskampagne tidligere denne måned.
Web-skaller er blevet en letanvendelig måde at udstede kommandoer til kompromitterede servere, efterhånden som angribere i stigende grad målretter mod cloud-ressourcer, siger Maxim Zavodchik, trusselsforskningsdirektør hos Akamai.
"I dag er den angrebsflade, som webapplikationer - ikke kun API'er - tillader, virkelig stor," siger han. "Så når du udnytter en websårbarhed, vil det nemmeste næste skridt være at implementere en webplatform - et implantat, noget der ikke er binært, men som taler samme sprog som webserveren."
Akamai fokuserede på WSO-NG efter brugen af det i en massiv kampagne rettet mod Magento 2 e-handelsbutikker, men andre grupper bruger andre web-skaller. Cl0p ransomware-gruppen droppede for eksempel DEWMODE- og LEMURLOOT-webskallerne efter at have udnyttet sårbarheder i Kiteworks Accellion FTA i 2020 og Progress Softwares MOVEit-administrerede filoverførselstjeneste i maj, ifølge en analyse fra juni 2023 af netværksfirmaet F5.
I 2021 bemærkede Microsoft, at brugen af web-skaller var vokset dramatisk, hvor virksomheden så næsten det dobbelte af møderne af web-skaller på overvågede servere sammenlignet med det foregående år. oplyst i en analyse. Nyere data er ikke tilgængelige.
"Web-skaller gør det muligt for angribere at køre kommandoer på servere for at stjæle data eller bruge serveren som [en] affyringsrampe til andre aktiviteter såsom legitimationstyveri, lateral bevægelse, udrulning af yderligere nyttelast eller praktisk tastaturaktivitet, samtidig med at det tillader angribere at fortsætter i en berørt organisation,” udtalte Microsoft i sin analyse.
Stealthy og anonym
En af grundene til, at angribere har taget til web-skaller, er på grund af deres evne til at holde sig under radaren. Web-skaller er svære at opdage med statiske analyseteknikker, fordi filerne og koden er så lette at ændre. Desuden blander web-shell-trafik – fordi det kun er HTTP eller HTTPS – lige ind, hvilket gør det svært at opdage med trafikanalyse, siger Akamais Zavodchik.
"De kommunikerer på de samme porte, og det er bare endnu en side på webstedet," siger han. “Det er ikke som den klassiske malware, der åbner forbindelsen tilbage fra serveren til angriberen. Angriberen gennemser bare hjemmesiden. Der er ingen ondsindet forbindelse, så ingen unormale forbindelser går fra serveren til angriberen."
Derudover, fordi der er så mange off-the-shelf web-skaller, kan angribere bruge dem uden at tippe forsvarere om deres identitet. WSO-NG Web-skallen er for eksempel tilgængelig på GitHub. Og Kali Linux er open source; det er en Linux-distribution, der fokuserer på at levere brugervenlige værktøjer til røde teams og offensive operationer, og den giver 14 forskellige web-skaller, hvilket giver penetrationstestere mulighed for at uploade og downloade filer, udføre kommandoer og oprette og forespørge i databaser og arkiver.
"Når APT-trusselsaktører ... flytter fra specielt skræddersyede binære implantater til web-skaller - enten deres egne web-skaller eller nogle generiske web-skaller - kan ingen tilskrive disse faktorer til de specifikke grupper," siger Zavodchik.
Forsvar med mistænkelig årvågenhed
Det bedste forsvar er at overvåge webtrafik for mistænkelige mønstre, unormale URL-parametre og ukendte URL'er og IP-adresser. At verificere servernes integritet er også en vigtig defensiv taktik, skrev Malcolm Heath, en senior trusselsforsker hos F5 Networks, i et juni-indlæg om web-skaller.
"Overvågning af biblioteksindhold er også en god tilgang, og der findes nogle programmer, som kan opdage ændringer i overvågede mapper med det samme og automatisk rulle ændringer tilbage," udtalte virksomheden. "Derudover giver nogle defensive værktøjer mulighed for at detektere unormal processkabelse."
Andre metoder omfatter fokus på at detektere den første adgang og implementeringen af en web-shell. Webapplikationsfirewalls (WAF'er), med deres evne til at se på trafikstrømme, er også solide defensive foranstaltninger.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :er
- :ikke
- 14
- 2020
- 2021
- 2023
- 7
- a
- evne
- Om
- adgang
- Ifølge
- aktiviteter
- aktivitet
- aktører
- Desuden
- Yderligere
- Derudover
- adresser
- påvirket
- Efter
- tillade
- tillade
- tillader
- også
- Amazon
- Amazon Web Services
- an
- analyse
- ,
- En anden
- API'er
- Anvendelse
- applikationer
- tilgang
- APT
- arkiv
- ER
- AS
- At
- angribe
- automatisk
- til rådighed
- tilbage
- BE
- fordi
- bliver
- været
- BEDSTE
- blandinger
- men
- by
- Kampagne
- CAN
- Ændringer
- Classic
- Cloud
- kode
- Fælles
- kommunikere
- selskab
- sammenlignet
- Kompromitteret
- sammenløbet
- tilslutning
- Tilslutninger
- indhold
- kunne
- Oprettelse af
- skabelse
- KREDENTIAL
- Legitimationsoplysninger
- data
- databaser
- Defenders
- defensiv
- indsætte
- indsat
- implementering
- opdage
- Detektion
- udviklere
- forskellige
- Direktør
- mapper
- fordeling
- fordoble
- downloade
- dramatisk
- droppet
- e-handel
- tidligere
- nemmeste
- let
- nem at bruge
- enten
- Enterprise
- eksempel
- udføre
- eksisterer
- eksperter
- udnyttelse
- Exploited
- udnytte
- faktorer
- File (Felt)
- Filer
- firewalls
- Firm
- strømme
- fokuserede
- fokusering
- efter
- Til
- fundet
- fra
- Gevinst
- Bander
- indsamling
- GitHub
- Give
- Go
- godt
- gruppe
- Gruppens
- voksen
- havde
- Hård Ost
- Have
- he
- http
- HTTPS
- Identity
- straks
- in
- omfatter
- stigende
- oplysninger
- initial
- instans
- integritet
- grænseflade
- Internet
- IP
- IP-adresser
- spørgsmål
- udstedelse
- IT
- ITS
- jpg
- juni
- lige
- Nøgle
- kendt
- Sprog
- stor
- lancere
- legitim
- ligesom
- linux
- Logge på
- Se
- Making
- malware
- lykkedes
- ledelse
- mange
- Masse
- massive
- Maxim
- Kan..
- foranstaltninger
- Metadata
- metoder
- microsoft
- ændre
- overvåges
- overvågning
- Måned
- mere
- Desuden
- bevæge sig
- bevægelse
- næsten
- netværk
- net
- næste
- ingen
- bemærkede
- november
- of
- off
- offensiv
- on
- ONE
- åbent
- open source
- Produktion
- or
- organisation
- Andet
- egen
- pad
- side
- parametre
- pathway
- mønstre
- trænge ind
- udholdenhed
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Populær
- porte
- Indlæg
- indsendt
- potentiale
- Forud
- behandle
- Programmer
- Progress
- giver
- leverer
- radar
- ransomware
- RE
- virkelig
- grund
- nylige
- for nylig
- Rød
- relaterede
- forskning
- forsker
- Ressourcer
- henholdsvis
- højre
- Roll
- Kør
- kører
- s
- samme
- siger
- siger
- scanning
- se
- set
- senior
- server
- Servere
- tjeneste
- Tjenester
- Shell
- websted
- So
- Software
- solid
- nogle
- noget
- raffinement
- Kilde
- specielt
- specifikke
- erklærede
- statisk
- forblive
- Stealth
- Trin
- sådan
- overflade
- mistænksom
- skræddersyet
- taget
- Talks
- mål
- mål
- hold
- teknikker
- testere
- at
- tyveri
- deres
- Them
- Der.
- de
- denne
- dem
- trussel
- trusselsaktører
- Gennem
- til
- i dag
- værktøj
- værktøjer
- Trafik
- overførsel
- typen
- under
- ukendt
- URL
- brug
- verificere
- Sårbarheder
- sårbarhed
- var
- Vej..
- web
- Webapplikation
- webapplikationer
- Webserver
- webservices
- Webtrafik
- Hjemmeside
- hvornår
- som
- mens
- vilje
- med
- uden
- skrev
- år
- Du
- zephyrnet