Web シェルは、侵害されたサーバーにコマンドを発行するための使いやすいインターフェイスを提供する一般的なタイプのエクスプロイト後ツールであり、攻撃者のクラウド認識が高まるにつれ、その人気が高まっていると専門家は述べています。
WSO-NG として知られる Web シェルが、ログイン サイトを 404「ページが見つかりません」スプラッシュ ページに偽装し、VirusTotal などの正当なサービスを通じて潜在的なターゲットに関する情報を収集し、経路としてアマゾン ウェブ サービスに関連するメタデータをスキャンしていることが最近確認されました。インターネット管理会社アカマイは、開発者の認証情報を盗んだと述べた。 22月XNUMX日に投稿された分析。 他の Web シェルは、Cl0p および C3RB3R ランサムウェア ギャングによって展開されており、後者は、Atlassian Confluence エンタープライズ サーバーを実行しているサーバーを悪用しました。 大規模搾取キャンペーン 今月上旬。
Akamai の脅威リサーチ ディレクターである Maxim Zavodchik 氏は、攻撃者がクラウド リソースをターゲットにすることが増えているため、Web シェルは侵害されたサーバーにコマンドを発行する使いやすい方法になっていると述べています。
「今日では、API だけでなく Web アプリケーションが許容する攻撃対象領域は非常に広くなっています」と彼は言います。 「したがって、Web の脆弱性を悪用する場合、最も簡単な次のステップは、Web プラットフォーム、つまりバイナリではなく Web サーバーと同じ言語を話すインプラントを導入することになります。」
Akamai は、大規模なキャンペーンでの使用を受けて WSO-NG に焦点を当てました Magento 2 eコマースショップをターゲットにするですが、他のグループは別の Web シェルを使用します。 たとえば、Cl0p ランサムウェア グループは、2020 年に Kiteworks Accellion FTA、XNUMX 月に Progress Software の MOVEit マネージド ファイル転送サービスの脆弱性を悪用した後、それぞれ DEWMODE と LEMURLOOT Web シェルをドロップしました。 ネットワーク会社 F2023 による 5 年 XNUMX 月の分析.
Microsoft は、2021 年に Web シェルの使用が劇的に増加し、監視対象サーバー上での Web シェルの遭遇が前年と比べて XNUMX 倍近くになったことを指摘しました。 分析で述べた。 より最近のデータは利用できません。
「Web シェルを使用すると、攻撃者はサーバー上でコマンドを実行してデータを盗んだり、資格情報の盗難、横方向の移動、追加のペイロードの展開、キーボード操作などの他の活動の発射台としてサーバーを使用したりできる一方で、攻撃者は次のことを行うことができます。影響を受けた組織に存続します」と Microsoft は分析の中で述べています。
ステルスかつ匿名
攻撃者が Web シェルを利用する理由の XNUMX つは、Web シェルが気づかれないようにできるためです。 Web シェルは、ファイルとコードが非常に簡単に変更されるため、静的分析手法で検出するのが困難です。 さらに、Web シェルのトラフィックは、単なる HTTP または HTTPS であるため、完全に溶け込んでおり、トラフィック分析での検出が困難になっていると、Akamai の Zavodchik 氏は述べています。
「それらは同じポートで通信しており、それは Web サイトの別のページにすぎません」と彼は言います。 「これは、サーバーから攻撃者への接続を開く従来のマルウェアとは異なります。 攻撃者は Web サイトを閲覧するだけです。 悪意のある接続がないため、サーバーから攻撃者への異常な接続もありません。」
さらに、既製の Web シェルが非常に多いため、攻撃者は防御者に身元を知らせることなくそれらを使用できます。 たとえば、WSO-NG Web シェルは GitHub で入手できます。 そして、Kali Linux はオープンソースです。 これは、レッド チームや攻撃的な作戦に使いやすいツールを提供することに重点を置いた Linux ディストリビューションであり、14 種類の Web シェルを提供し、ペネトレーション テスターがファイルのアップロードとダウンロード、コマンドの実行、データベースとアーカイブの作成とクエリを実行できるようにします。
「APT の脅威アクターが、特別にカスタマイズされたバイナリ インプラントから Web シェル (独自の Web シェルまたは汎用 Web シェルのいずれか) に移行すると、それらの要因が特定のグループにあるとは誰も考えられなくなります」と Zavodchik 氏は言います。
不審な警戒で防御する
最善の防御策は、Web トラフィックを監視して、疑わしいパターン、異常な URL パラメータ、不明な URL や IP アドレスを監視することです。 F5 Networks の上級脅威研究者である Malcolm Heath 氏は、サーバーの整合性を検証することも重要な防御戦術であると、Web シェルに関する XNUMX 月の投稿で述べています。
「ディレクトリの内容を監視することも良いアプローチであり、監視対象のディレクトリへの変更を即座に検出し、変更を自動的にロールバックできるプログラムがいくつか存在します」と同社は述べている。 「さらに、一部の防御ツールでは、異常なプロセスの作成を検出できます。」
他の方法には、初期アクセスの検出と Web シェルのデプロイメントに焦点を当てることが含まれます。 トラフィック フローを監視する機能を備えた Web アプリケーション ファイアウォール (WAF) も、強力な防御手段です。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :は
- :not
- 14
- 2020
- 2021
- 2023
- 7
- a
- 能力
- 私たちについて
- アクセス
- 従った
- 活動
- アクティビティ
- 俳優
- 添加
- NEW
- さらに
- アドレス
- 影響を受けました
- 後
- 許す
- 許可
- ことができます
- また
- Amazon
- Amazon Webサービス
- an
- 分析
- および
- 別の
- API
- 申し込み
- アプローチ
- APT
- アーカイブ
- です
- AS
- At
- 攻撃
- 自動的に
- 利用できます
- バック
- BE
- なぜなら
- になる
- き
- BEST
- ブレンド
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- キャンペーン
- 缶
- 変更
- クラシック
- クラウド
- コード
- コマンドと
- 伝える
- 会社
- 比べ
- 損害を受けた
- 合流
- 接続
- Connections
- コンテンツ
- 可能性
- 作成
- 創造
- クレデンシャル
- Credentials
- データ
- データベースを追加しました
- ディフェンダー
- 守備
- 展開します
- 展開
- 展開
- 検出
- 検出
- 開発者
- 異なります
- 取締役
- ディレクトリ
- ディストリビューション
- ダウンロード
- 劇的に
- 落とした
- eコマース
- 前
- 最も簡単
- 簡単に
- 使いやすい
- どちら
- Enterprise
- 例
- 実行します
- 存在する
- 専門家
- 搾取
- 搾取
- 悪用
- 要因
- File
- ファイアウォール
- 会社
- 流れ
- 焦点を当て
- 焦点
- フォロー中
- 発見
- から
- 利得
- ギャング
- 集まり
- GitHubの
- 与え
- Go
- 良い
- グループ
- グループの
- 成長した
- 持っていました
- ハード
- 持ってる
- he
- HTTP
- HTTPS
- アイデンティティ
- 直ちに
- in
- include
- ますます
- 情報
- 初期
- 整合性
- インタフェース
- インターネット
- IP
- IPアドレス
- 問題
- 発行
- IT
- ITS
- JPG
- 六月
- ただ
- キー
- 既知の
- 言語
- 大
- 起動する
- 正当な
- ような
- linuxの
- ログイン
- 見て
- 作成
- マルウェア
- マネージド
- 管理
- 多くの
- 質量
- 大規模な
- マキシム
- 五月..
- 措置
- メソッド
- Microsoft
- 修正する
- 監視対象
- モニタリング
- 月
- 他には?
- さらに
- 運動
- ほぼ
- ネットワーキング
- ネットワーク
- 次の
- いいえ
- 注意
- 11月
- of
- オフ
- 攻撃
- on
- ONE
- 開いた
- オープンソース
- 業務執行統括
- or
- 組織
- その他
- 自分の
- パッド
- ページ
- パラメータ
- 経路
- パターン
- 浸透
- 持続性
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 人気
- ポート
- ポスト
- 掲示
- 潜在的な
- 事前の
- プロセス
- プログラム
- 進捗
- は、大阪で
- 提供
- レーダー
- ランサムウェア
- RE
- 本当に
- 理由
- 最近
- 最近
- レッド
- 関連する
- 研究
- 研究者
- リソース
- それぞれ
- 右
- ロール
- ラン
- ランニング
- s
- 同じ
- 言う
- 言う
- スキャニング
- 見ること
- 見て
- シニア
- サーバー
- サービス
- サービス
- シェル(Shell)
- ウェブサイト
- So
- ソフトウェア
- 固体
- 一部
- 何か
- 洗練された
- ソース
- 特別に
- 特定の
- 明記
- 静的な
- 滞在
- Stealth
- 手順
- そのような
- 表面
- 疑わしい
- テーラード
- 撮影
- トーク
- ターゲット
- ターゲット
- チーム
- テクニック
- テスター
- それ
- 盗難
- アプリ環境に合わせて
- それら
- そこ。
- 彼ら
- この
- それらの
- 脅威
- 脅威アクター
- 介して
- 〜へ
- 今日
- ツール
- 豊富なツール群
- トラフィック
- 転送
- type
- 下
- 未知の
- URL
- つかいます
- 検証する
- 脆弱性
- 脆弱性
- ました
- 仕方..
- ウェブ
- ウェブアプリケーション
- Webアプリケーション
- ウェブサーバー
- Webサービス
- Webトラフィック
- ウェブサイト
- いつ
- which
- while
- 意志
- 無し
- 書いた
- 年
- You
- ゼファーネット