Web shell, sejenis alat pasca-eksploitasi yang menyediakan antarmuka yang mudah digunakan untuk mengeluarkan perintah ke server yang disusupi, menjadi semakin populer karena penyerang menjadi lebih sadar akan cloud, kata para ahli.
Shell Web yang dikenal sebagai WSO-NG baru-baru ini terlihat menyamarkan situs loginnya sebagai halaman pembuka 404 โHalaman Tidak Ditemukanโ, mengumpulkan informasi tentang target potensial melalui layanan sah seperti VirusTotal, dan memindai metadata yang terkait dengan Amazon Web Services sebagai jalurnya untuk mencuri kredensial pengembang, kata perusahaan manajemen internet Akamai analisis yang diposting pada 22 November. Shell Web lainnya telah digunakan oleh geng ransomware Cl0p dan C3RB3R, yang terakhir mengeksploitasi server yang menjalankan server perusahaan Atlassian Confluence di kampanye eksploitasi massal awal bulan ini.
Web shell telah menjadi cara yang mudah digunakan untuk mengeluarkan perintah ke server yang disusupi karena semakin banyak penyerang yang menargetkan sumber daya cloud, kata Maxim Zavodchik, direktur riset ancaman di Akamai.
โSaat ini, permukaan serangan yang dimungkinkan oleh aplikasi Web โ bukan hanya API โ sangatlah besar,โ katanya. โJadi ketika Anda mengeksploitasi kerentanan Web, langkah termudah berikutnya adalah menerapkan platform Web โ sebuah implan, sesuatu yang bukan biner, tetapi menggunakan bahasa yang sama dengan server Web.โ
Akamai fokus pada WSO-NG setelah digunakan dalam kampanye besar-besaran menargetkan toko e-commerce Magento 2, tetapi grup lain menggunakan shell Web yang berbeda. Kelompok ransomware Cl0p, misalnya, masing-masing menjatuhkan shell Web DEWMODE dan LEMURLOOT, setelah mengeksploitasi kerentanan di Kiteworks Accellion FTA pada tahun 2020 dan layanan transfer file terkelola MOVEit dari Progress Software pada bulan Mei, menurut analisis Juni 2023 oleh perusahaan jaringan F5.
Pada tahun 2021, Microsoft mencatat bahwa penggunaan shell Web telah meningkat secara dramatis, dengan perusahaan melihat hampir dua kali lipat pertemuan shell Web pada server yang dipantau dibandingkan tahun sebelumnya, perusahaan tersebut dinyatakan dalam suatu analisis. Data yang lebih baru tidak tersedia.
โWeb shell memungkinkan penyerang menjalankan perintah di server untuk mencuri data atau menggunakan server sebagai [a] landasan peluncuran untuk aktivitas lain seperti pencurian kredensial, pergerakan lateral, penerapan muatan tambahan, atau aktivitas langsung di keyboard, sekaligus memungkinkan penyerang untuk melakukannya. bertahan di organisasi yang terkena dampak,โ kata Microsoft dalam analisisnya.
Diam-diam dan Anonim
Salah satu alasan penyerang menggunakan Web shell adalah karena kemampuan mereka untuk tetap berada di bawah radar. Shell web sulit dideteksi dengan teknik analisis statis, karena file dan kodenya sangat mudah untuk dimodifikasi. Selain itu, lalu lintas shell Web โ karena hanya HTTP atau HTTPS โ menyatu secara langsung, sehingga sulit dideteksi dengan analisis lalu lintas, kata Zavodchik dari Akamai.
โMereka berkomunikasi melalui port yang sama, dan itu hanyalah halaman lain di situs web,โ katanya. โIni tidak seperti malware klasik yang akan membuka kembali koneksi dari server ke penyerang. Penyerang hanya menjelajahi situs web. Tidak ada koneksi berbahaya, jadi tidak ada koneksi anomali yang berpindah dari server ke penyerang.โ
Selain itu, karena terdapat begitu banyak shell Web yang tersedia, penyerang dapat menggunakannya tanpa memberi tahu pihak yang membela mengenai identitasnya. Shell Web WSO-NG, misalnya, tersedia di GitHub. Dan Kali Linux adalah sumber terbuka; ini adalah distribusi Linux yang berfokus pada penyediaan alat yang mudah digunakan untuk tim merah dan operasi ofensif, dan menyediakan 14 shell Web berbeda, memberikan penguji penetrasi kemampuan untuk mengunggah dan mengunduh file, menjalankan perintah, dan membuat serta menanyakan database dan arsip.
โKetika pelaku ancaman APTโฆ berpindah dari implan biner yang dirancang khusus ke shell Web โ baik shell Web mereka sendiri atau shell Web generik โ tidak ada yang dapat menghubungkan faktor-faktor tersebut dengan kelompok tertentu,โ kata Zavodchik.
Pertahankan Dengan Kewaspadaan yang Mencurigakan
Pertahanan terbaik adalah memantau lalu lintas Web untuk mencari pola yang mencurigakan, parameter URL yang tidak wajar, serta URL dan alamat IP yang tidak diketahui. Memverifikasi integritas server juga merupakan taktik pertahanan utama, tulis Malcolm Heath, peneliti ancaman senior di F5 Networks, dalam postingan bulan Juni di Web shell.
โPemantauan konten direktori juga merupakan pendekatan yang baik, dan ada beberapa program yang dapat mendeteksi perubahan pada direktori yang dipantau dengan segera dan mengembalikan perubahan secara otomatis,โ kata perusahaan itu. โSelain itu, beberapa alat pertahanan memungkinkan pendeteksian pembuatan proses yang tidak wajar.โ
Metode lain termasuk fokus pada pendeteksian akses awal dan penerapan shell Web. Firewall aplikasi web (WAF), dengan kemampuannya untuk memantau arus lalu lintas, juga merupakan langkah pertahanan yang kuat.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :adalah
- :bukan
- 14
- 2020
- 2021
- 2023
- 7
- a
- kemampuan
- Tentang Kami
- mengakses
- Menurut
- kegiatan
- kegiatan
- aktor
- tambahan
- Tambahan
- Selain itu
- alamat
- terpengaruh
- Setelah
- mengizinkan
- Membiarkan
- memungkinkan
- juga
- Amazon
- Amazon Web Services
- an
- analisis
- dan
- Lain
- Lebah
- Aplikasi
- aplikasi
- pendekatan
- APT
- arsip
- ADALAH
- AS
- At
- menyerang
- secara otomatis
- tersedia
- kembali
- BE
- karena
- menjadi
- menjadi
- TERBAIK
- campuran
- tapi
- by
- Kampanye
- CAN
- Perubahan
- klasik
- awan
- kode
- Umum
- menyampaikan
- perusahaan
- dibandingkan
- Dikompromikan
- pertemuan
- koneksi
- Koneksi
- Konten
- bisa
- membuat
- penciptaan
- MANDAT
- Surat kepercayaan
- data
- database
- Pembela
- defensif
- menyebarkan
- dikerahkan
- penyebaran
- menemukan
- Deteksi
- pengembang
- berbeda
- Kepala
- direktori
- distribusi
- dua kali lipat
- Download
- secara dramatis
- menjatuhkan
- e-commerce
- Terdahulu
- termudah
- Mudah
- mudah digunakan
- antara
- Enterprise
- contoh
- menjalankan
- ada
- ahli
- eksploitasi
- dieksploitasi
- mengeksploitasi
- faktor
- File
- File
- firewall
- Perusahaan
- Mengalir
- terfokus
- berfokus
- berikut
- Untuk
- ditemukan
- dari
- Mendapatkan
- Geng
- pertemuan
- GitHub
- Pemberian
- Go
- baik
- Kelompok
- Grup
- dewasa
- memiliki
- Sulit
- Memiliki
- he
- http
- HTTPS
- identitas
- segera
- in
- memasukkan
- makin
- informasi
- mulanya
- contoh
- integritas
- Antarmuka
- Internet
- IP
- Alamat IP
- isu
- mengeluarkan
- IT
- NYA
- jpg
- Juni
- hanya
- kunci
- dikenal
- bahasa
- besar
- jalankan
- sah
- 'like'
- linux
- masuk
- melihat
- Membuat
- malware
- berhasil
- pengelolaan
- banyak
- Massa
- besar-besaran
- pepatah
- Mungkin..
- ukuran
- Metadata
- metode
- Microsoft
- memodifikasi
- dipantau
- pemantauan
- Bulan
- lebih
- Selain itu
- pindah
- gerakan
- hampir
- jaringan
- jaringan
- berikutnya
- tidak
- terkenal
- November
- of
- lepas
- serangan
- on
- ONE
- Buka
- open source
- Operasi
- or
- organisasi
- Lainnya
- sendiri
- bantalan
- halaman
- parameter
- jalan
- pola
- penetrasi
- ketekunan
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Populer
- port
- Pos
- diposting
- potensi
- Sebelumnya
- proses
- program
- Kemajuan
- menyediakan
- menyediakan
- radar
- ransomware
- RE
- benar-benar
- alasan
- baru
- baru-baru ini
- Merah
- terkait
- penelitian
- peneliti
- Sumber
- masing-masing
- benar
- Menggulung
- Run
- berjalan
- s
- sama
- mengatakan
- mengatakan
- pemindaian
- melihat
- terlihat
- senior
- Server
- Server
- layanan
- Layanan
- Kulit
- situs web
- So
- Perangkat lunak
- padat
- beberapa
- sesuatu
- kecanggihan
- sumber
- khususnya
- tertentu
- menyatakan
- statis
- tinggal
- Stealth
- Langkah
- seperti itu
- Permukaan
- mencurigakan
- disesuaikan
- diambil
- Pembicaraan
- target
- target
- tim
- teknik
- penguji
- bahwa
- Grafik
- pencurian
- mereka
- Mereka
- Sana.
- mereka
- ini
- itu
- ancaman
- aktor ancaman
- Melalui
- untuk
- hari ini
- alat
- alat
- lalu lintas
- transfer
- mengetik
- bawah
- tidak dikenal
- URL
- menggunakan
- memverifikasi
- Kerentanan
- kerentanan
- adalah
- Cara..
- jaringan
- aplikasi web
- aplikasi web
- web server
- layanan web
- Lalu Lintas Web
- Situs Web
- ketika
- yang
- sementara
- akan
- dengan
- tanpa
- menulis
- tahun
- Kamu
- zephyrnet.dll