Asiantuntijat sanovat, että Web-kuoret, yleinen jälkikäyttötyökalu, joka tarjoaa helppokäyttöisen käyttöliittymän komentojen antamiseen vaarantuneelle palvelimelle, ovat tulleet yhä suositummiksi, kun hyökkääjät ovat tietoisempia pilvipalveluista.
WSO-NG-nimellä tunnetun Web-kuoren nähtiin äskettäin naamioivan kirjautumissivustonsa 404 "Sivua ei löydy" -aloitussivuksi, joka kerää tietoja mahdollisista kohteista laillisten palveluiden, kuten VirusTotalin, kautta ja etsii Amazon Web Servicesiin liittyviä metatietoja. kehittäjien valtuustietojen varastamiseen, Internet-hallintayritys Akamai totesi 22. marraskuuta julkaistu analyysi. Cl0p- ja C3RB3R-ransomware-jengit ovat ottaneet käyttöön muita Web-kuoret, joista jälkimmäinen käytti hyväkseen palvelimia, joissa oli Atlassian Confluence -yrityspalvelin. joukkoriistokampanja aikaisemmin tässä kuussa.
Web-kuorista on tullut helppokäyttöinen tapa antaa komentoja vaarantuneille palvelimille, kun hyökkääjät kohdistavat yhä enemmän pilviresursseihin, sanoo Maxim Zavodchik, Akamain uhkatutkimusjohtaja.
"Nykyään verkkosovellusten – ei vain API:iden – sallima hyökkäyspinta on todella laaja", hän sanoo. "Joten kun hyödynnät Web-haavoittuvuutta, helpoin seuraava askel on ottaa käyttöön Web-alusta - implantti, jotain, joka ei ole binääri, vaan puhuu samaa kieltä kuin Web-palvelin."
Akamai keskittyi WSO-NG:hen sen käytön jälkeen massiivisessa kampanjassa kohdistettu Magento 2 -verkkokauppoihin, mutta muut ryhmät käyttävät erilaisia Web-kuoret. Esimerkiksi Cl0p-lunastusohjelmaryhmä luopui DEWMODE- ja LEMURLOOT-Web-kuorista, kun se hyödynsi haavoittuvuuksia Kiteworks Accellion FTA:ssa vuonna 2020 ja Progress Softwaren MOVEit-hallinnassa tiedostonsiirtopalvelussa toukokuussa. verkostoyritys F2023:n kesäkuun 5 analyysi.
Microsoft totesi vuonna 2021, että Web-sävelten käyttö oli kasvanut dramaattisesti, kun yhtiö näki lähes kaksinkertaisen määrän web-kuorien kohtaamisia valvotuilla palvelimilla edelliseen vuoteen verrattuna. totesi analyysissä. Uusimpia tietoja ei ole saatavilla.
"Verkkokuoret antavat hyökkääjille mahdollisuuden suorittaa komentoja palvelimilla varastaakseen tietoja tai käyttää palvelinta [käynnistysalustana] muihin toimintoihin, kuten valtuustietojen varastamiseen, sivuttaisliikenteeseen, lisähyötykuormien käyttöönottoon tai käytännön näppäimistötoimintoihin, samalla kun hyökkääjät voivat jatkuu organisaatiossa, jota asia koskee”, Microsoft totesi analyysissaan.
Salaperäinen ja Nimetön
Yksi syy, miksi hyökkääjät ovat käyttäneet Web-kuoret, on heidän kykynsä pysyä tutkan alla. Web-kuoret on vaikea havaita staattisilla analyysitekniikoilla, koska tiedostoja ja koodia on niin helppo muokata. Lisäksi Web Shell -liikenne - koska se on vain HTTP tai HTTPS - sulautuu suoraan, mikä vaikeuttaa sen havaitsemista liikenneanalyysin avulla, sanoo Akamain Zavodchik.
"He kommunikoivat samoissa porteissa, ja se on vain yksi verkkosivuston sivu", hän sanoo. "Se ei ole kuin klassinen haittaohjelma, joka avaa yhteyden takaisin palvelimelta hyökkääjälle. Hyökkääjä vain selaa verkkosivustoa. Haitallista yhteyttä ei ole, joten palvelimelta hyökkääjälle ei mene epänormaalia yhteyttä."
Lisäksi, koska valmiita Web-kuoret ovat niin paljon, hyökkääjät voivat käyttää niitä antamatta vihjeitä puolustajille heidän henkilöllisyydestään. Esimerkiksi WSO-NG-verkkokuori on saatavilla GitHubista. Ja Kali Linux on avoimen lähdekoodin; Se on Linux-jakelu, joka keskittyy tarjoamaan helppokäyttöisiä työkaluja punaisille ryhmille ja hyökkääville operaatioille, ja se tarjoaa 14 erilaista Web-kuorta, jotka antavat läpäisevyyden testaajille mahdollisuuden ladata ja ladata tiedostoja, suorittaa komentoja sekä luoda tietokantoja ja arkistoja ja tehdä kyselyjä.
"Kun APT-uhkatoimijat … siirtyvät erityisesti räätälöidyistä binääriimplanteista Web-kuoriin - joko omiin Web-kuoreihinsa tai joihinkin yleisiin Web-kuoreihin - kukaan ei voinut lukea näitä tekijöitä tiettyjen ryhmien syyksi", Zavodchik sanoo.
Puolusta epäilyttävällä valppaudella
Parhaat suojakeinot ovat verkkoliikenteen tarkkailu epäilyttävien mallien, poikkeavien URL-parametrien ja tuntemattomien URL-osoitteiden ja IP-osoitteiden varalta. Palvelinten eheyden varmistaminen on myös keskeinen puolustustaktiikka, Malcolm Heath, F5 Networksin vanhempi uhkatutkija, kirjoitti kesäkuussa julkaisemassaan Web Shells -viestissä.
"Hakemiston sisällön seuranta on myös hyvä lähestymistapa, ja on olemassa ohjelmia, jotka havaitsevat seurattujen hakemistojen muutokset välittömästi ja peruuttavat muutokset automaattisesti", yhtiö totesi. "Lisäksi jotkut puolustustyökalut mahdollistavat poikkeavien prosessien luomisen havaitsemisen."
Muita menetelmiä ovat keskittyminen alkupääsyn havaitsemiseen ja Web-kuoren käyttöönottoon. Verkkosovellusten palomuurit (WAF), joiden kyky tarkastella liikennevirtoja, ovat myös vankkaa suojakeinoa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :On
- :ei
- 14
- 2020
- 2021
- 2023
- 7
- a
- kyky
- Meistä
- pääsy
- Mukaan
- toiminta
- toiminta
- toimijoiden
- Lisäksi
- lisä-
- Lisäksi
- osoitteet
- vaikuttaa
- Jälkeen
- sallia
- Salliminen
- mahdollistaa
- Myös
- Amazon
- Amazon Web Services
- an
- analyysi
- ja
- Toinen
- API
- Hakemus
- sovellukset
- lähestymistapa
- APT
- arkisto
- OVAT
- AS
- At
- hyökkäys
- automaattisesti
- saatavissa
- takaisin
- BE
- koska
- tulevat
- ollut
- PARAS
- sekoituksia
- mutta
- by
- Kampanja
- CAN
- Muutokset
- klassinen
- pilvi
- koodi
- Yhteinen
- tiedottaa
- yritys
- verrattuna
- Vaarantunut
- yhtymäkohta
- liitäntä
- Liitännät
- pitoisuus
- voisi
- Luominen
- luominen
- TOIMINTAKERTOMUS
- Valtakirja
- tiedot
- tietokannat
- Puolustajat
- puolustava
- sijoittaa
- käyttöön
- käyttöönotto
- havaita
- Detection
- kehittäjille
- eri
- Johtaja
- hakemistot
- jakelu
- kaksinkertainen
- download
- dramaattisesti
- putosi
- verkkokaupan
- Aikaisemmin
- Helpoin
- helppo
- helppo käyttää
- myöskään
- yritys
- esimerkki
- suorittaa
- olla
- asiantuntijat
- hyväksikäyttö
- hyödynnetään
- hyödyntäminen
- tekijät
- filee
- Asiakirjat
- palomuurit
- Yritys
- virrat
- keskityttiin
- tarkennus
- jälkeen
- varten
- löytyi
- alkaen
- Saada
- Gangs
- keräys
- GitHub
- Antaminen
- Go
- hyvä
- Ryhmä
- Ryhmän
- täysikasvuinen
- HAD
- Kova
- Olla
- he
- http
- HTTPS
- Identiteetti
- heti
- in
- sisältää
- yhä useammin
- tiedot
- ensimmäinen
- esimerkki
- eheys
- liitäntä
- Internet
- IP
- IP-osoitteita
- kysymys
- antaneen
- IT
- SEN
- jpg
- kesäkuu
- vain
- avain
- tunnettu
- Kieli
- suuri
- käynnistää
- laillinen
- pitää
- linux
- Kirjaudu sisään
- katso
- Tekeminen
- haittaohjelmat
- onnistui
- johto
- monet
- Massa
- massiivinen
- Maksiimi
- Saattaa..
- toimenpiteet
- Metadata
- menetelmät
- Microsoft
- muokata
- seurataan
- seuranta
- Kuukausi
- lisää
- Lisäksi
- liikkua
- liike
- lähes
- verkostoituminen
- verkot
- seuraava
- Nro
- huomattava
- marraskuu
- of
- pois
- hyökkäys
- on
- ONE
- avata
- avoimen lähdekoodin
- Operations
- or
- organisaatio
- Muut
- oma
- tyyny
- sivulla
- parametrit
- polku
- kuviot
- tunkeutuminen
- sitkeys
- foorumi
- Platon
- Platonin tietotieto
- PlatonData
- Suosittu
- portit
- Kirje
- posted
- mahdollinen
- Aikaisempi
- prosessi
- Ohjelmat
- Edistyminen
- tarjoaa
- tarjoamalla
- tutka
- ransomware
- RE
- ihan oikeesti
- reason
- äskettäinen
- äskettäin
- punainen
- liittyvä
- tutkimus
- tutkija
- Esittelymateriaalit
- vastaavasti
- oikein
- rulla
- ajaa
- juoksu
- s
- sama
- sanoa
- sanoo
- skannaus
- koska
- nähneet
- vanhempi
- palvelin
- servers
- palvelu
- Palvelut
- Kuori
- paikka
- So
- Tuotteemme
- vankka
- jonkin verran
- jotain
- kehittyneisyys
- lähde
- erityisesti
- erityinen
- totesi
- staattinen
- pysyä
- Stealth
- Vaihe
- niin
- pinta
- epäilyttävä
- Räätälöity
- otettava
- Neuvottelut
- Kohde
- tavoitteet
- tiimit
- tekniikat
- testaajat
- että
- -
- varkaus
- heidän
- Niitä
- Siellä.
- ne
- tätä
- ne
- uhkaus
- uhka toimijat
- Kautta
- että
- tänään
- työkalu
- työkalut
- liikenne
- siirtää
- tyyppi
- varten
- tuntematon
- URL
- käyttää
- tarkastaa
- haavoittuvuuksia
- alttius
- oli
- Tapa..
- verkko
- Web-sovellus
- web-sovellukset
- Web-palvelin
- verkkopalvelut
- Verkkoliikenne
- Verkkosivu
- kun
- joka
- vaikka
- tulee
- with
- ilman
- kirjoitti
- vuosi
- Voit
- zephyrnet