전문가들은 손상된 서버에 명령을 내릴 수 있는 사용하기 쉬운 인터페이스를 제공하는 일반적인 유형의 공격 후 도구인 웹 셸이 점점 인기를 얻고 있다고 말합니다.
WSO-NG로 알려진 웹 셸은 최근 로그인 사이트를 404 "페이지를 찾을 수 없음" 스플래시 페이지로 위장하고 VirusTotal과 같은 합법적인 서비스를 통해 잠재적인 대상에 대한 정보를 수집하고 경로로 Amazon Web Services와 관련된 메타데이터를 검색하는 것으로 나타났습니다. 개발자의 자격 증명을 훔치기 위해 인터넷 관리 회사인 Akamai는 다음과 같이 밝혔습니다. 22월 XNUMX일에 게시된 분석. Cl0p 및 C3RB3R 랜섬웨어 집단은 다른 웹 셸을 배포했으며, 후자는 Atlassian Confluence 엔터프라이즈 서버를 실행하는 서버를 악용했습니다. 대량 착취 캠페인 이번달 초.
Akamai의 위협 연구 책임자인 Maxim Zavodchik은 공격자가 점점 더 클라우드 리소스를 표적으로 삼으면서 웹 셸이 손상된 서버에 명령을 내리는 사용하기 쉬운 방법이 되었다고 말했습니다.
“오늘날 API뿐만 아니라 웹 애플리케이션이 허용하는 공격 표면은 정말 넓습니다.”라고 그는 말합니다. “따라서 웹 취약점을 악용할 때 가장 쉬운 다음 단계는 웹 플랫폼, 즉 바이너리는 아니지만 웹 서버와 동일한 언어를 사용하는 임플란트를 배포하는 것입니다.”
Akamai는 대규모 캠페인에 WSO-NG를 사용한 후 이에 집중했습니다. Magento 2 전자상거래 상점 타겟팅, 그러나 다른 그룹은 다른 웹 셸을 사용합니다. 예를 들어 Cl0p 랜섬웨어 그룹은 2020년 Kiteworks Accellion FTA와 XNUMX월 Progress Software의 MOVEit 관리 파일 전송 서비스의 취약점을 악용한 후 각각 DEWMODE 및 LEMURLOOT 웹 셸을 삭제했습니다. 네트워킹 회사 F2023의 5년 XNUMX월 분석.
2021년에 Microsoft는 웹 셸의 사용이 급격히 증가하여 모니터링되는 서버에서 웹 셸이 전년도에 비해 거의 두 배 증가했다고 밝혔습니다. 분석에서 밝힌. 더 최근의 데이터는 없습니다.
“웹 셸을 사용하면 공격자가 서버에서 명령을 실행하여 데이터를 훔치거나 자격 증명 도용, 측면 이동, 추가 페이로드 배포 또는 키보드 실습 활동과 같은 다른 활동을 위한 실행 패드로 서버를 사용할 수 있습니다. 영향을 받는 조직에서 지속됩니다.”라고 Microsoft는 분석에서 밝혔습니다.
은밀하고 익명
공격자가 웹 셸을 사용하는 한 가지 이유는 레이더를 피할 수 있기 때문입니다. 웹 셸은 파일과 코드가 수정되기 쉽기 때문에 정적 분석 기술로는 탐지하기 어렵습니다. 더욱이 웹 셸 트래픽은 HTTP 또는 HTTPS이기 때문에 바로 혼합되므로 트래픽 분석으로 탐지하기가 어렵다고 Akamai의 Zavodchik은 말합니다.
“그들은 동일한 포트에서 통신하며 이는 웹사이트의 또 다른 페이지일 뿐입니다.”라고 그는 말합니다. “서버에서 공격자까지 연결을 다시 열어주는 전형적인 악성 코드와는 다릅니다. 공격자는 웹사이트를 탐색하기만 하면 됩니다. 악의적인 연결이 없으므로 비정상적인 연결이 서버에서 공격자에게 전달되지 않습니다.”
또한 기성 웹 셸이 너무 많기 때문에 공격자는 방어자에게 그 신원을 알려주지 않고도 이를 사용할 수 있습니다. 예를 들어 WSO-NG 웹 셸은 GitHub에서 사용할 수 있습니다. Kali Linux는 오픈 소스입니다. 이는 레드팀과 공격 작전을 위한 사용하기 쉬운 도구를 제공하는 데 초점을 맞춘 Linux 배포판이며, 침투 테스터에게 파일 업로드 및 다운로드, 명령 실행, 데이터베이스 및 아카이브 생성 및 쿼리 기능을 제공하는 14가지 웹 셸을 제공합니다.
Zavodchik은 “APT 위협 행위자가 특별히 맞춤화된 바이너리 이식에서 웹 셸(자체 웹 셸이든 일부 일반 웹 셸이든)로 이동할 때 아무도 이러한 요인을 특정 그룹에 귀속시킬 수 없습니다.”라고 Zavodchik은 말합니다.
의심스러운 경계로 방어
최선의 방어책은 웹 트래픽에서 의심스러운 패턴, 비정상적인 URL 매개변수, 알 수 없는 URL 및 IP 주소를 모니터링하는 것입니다. F5 Networks의 수석 위협 연구원인 Malcolm Heath는 웹 셸에 대한 XNUMX월 게시물에서 서버의 무결성을 확인하는 것도 핵심 방어 전략이라고 썼습니다.
"디렉터리 내용 모니터링도 좋은 접근 방식이며, 모니터링되는 디렉터리의 변경 사항을 즉시 감지하고 변경 사항을 자동으로 롤백할 수 있는 일부 프로그램이 존재합니다."라고 회사는 밝혔습니다. "게다가 일부 방어 도구를 사용하면 비정상적인 프로세스 생성을 탐지할 수 있습니다."
다른 방법으로는 초기 액세스 감지 및 웹 셸 배포에 중점을 두는 방법이 있습니다. 트래픽 흐름을 관찰하는 기능을 갖춘 WAF(웹 애플리케이션 방화벽)도 견고한 방어 수단입니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :이다
- :아니
- 14
- 2020
- 2021
- 2023
- 7
- a
- 능력
- 소개
- ACCESS
- 에 따르면
- 방과 후 액티비티
- 활동
- 배우
- 또한
- 추가
- 또한
- 구애
- 영향을받은
- 후
- 수
- 허용
- 수
- 또한
- 아마존
- Amazon Web Services
- an
- 분석
- 및
- 다른
- API
- 어플리케이션
- 어플리케이션
- 접근
- APT
- 기록 보관소
- 있군요
- AS
- At
- 공격
- 자동적으로
- 가능
- 뒤로
- BE
- 때문에
- 가
- 된
- BEST
- 조화
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 운동
- CAN
- 변경
- 고전적인
- 클라우드
- 암호
- 공통의
- 소통
- 회사
- 비교
- 손상된
- 합류
- 연결
- 연결
- 함유량
- 수
- 만들기
- 창조
- 신임장
- 신임장
- 데이터
- 데이터베이스
- 수호자
- 방어적인
- 배포
- 배포
- 전개
- 검색
- Detection System
- 개발자
- 다른
- 책임자
- 디렉토리
- 분포
- 더블
- 다운로드
- 극적으로
- 떨어 뜨린
- 전자 상거래
- 이전
- 가장 쉬운
- 쉽게
- 사용하기 쉬운
- 중
- Enterprise
- 예
- 실행
- 있다
- 전문가
- 착취
- 악용
- 착취
- 요인
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- 방화벽
- 굳은
- 흐름
- 집중
- 초점
- 수행원
- 럭셔리
- 발견
- 에
- 이득
- 갱
- 모임
- GitHub의
- 기부
- Go
- 좋은
- 그룹
- 여러 떼
- 성장한
- 했다
- 하드
- 있다
- he
- HTTP
- HTTPS
- 통합 인증
- 바로
- in
- 포함
- 더욱 더
- 정보
- 처음에는
- 예
- 보전
- 인터페이스
- 인터넷
- IP
- IP 주소
- 발행물
- 발행
- IT
- 그
- JPG
- 유월
- 다만
- 키
- 알려진
- 언어
- 넓은
- 시작
- 합법적 인
- 처럼
- 리눅스
- 로그인
- 보기
- 유튜브 영상을 만드는 것은
- 악성 코드
- 관리
- 구축
- .
- 질량
- 거대한
- 격언
- XNUMX월..
- 조치들
- 메타 데이터
- 방법
- Microsoft
- 수정
- 모니터링
- 모니터링
- 달
- 배우기
- 또한
- 움직임
- 운동
- 거의
- 네트워킹
- 네트워크
- 다음 것
- 아니
- 유명한
- 11월
- of
- 오프
- 공격
- on
- ONE
- 열 수
- 오픈 소스
- 행정부
- or
- 조직
- 기타
- 자신의
- 인주
- 페이지
- 매개 변수
- 경로
- 패턴
- 침투
- 고집
- 플랫폼
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 인기 문서
- 포트
- 게시하다
- 게시
- 가능성
- 이전에
- 방법
- 프로그램
- 진행
- 제공
- 제공
- 레이더
- 랜섬
- RE
- 정말
- 이유
- 최근
- 최근에
- 빨간색
- 관련
- 연구
- 연구원
- 제품 자료
- 각기
- 연락해주세요
- 롤
- 달리기
- 달리는
- s
- 같은
- 라고
- 라고
- 스캐닝
- 보고
- 본
- 연장자
- 섬기는 사람
- 서버
- 서비스
- 서비스
- 껍질
- 대지
- So
- 소프트웨어
- 고체
- 일부
- 무언가
- 지적 교양
- 출처
- 특별히
- 구체적인
- 정해진
- 정적 인
- 유지
- 스텔스
- 단계
- 이러한
- 표면
- 의심 많은
- 맞춤형
- 촬영
- 회담
- 목표
- 목표
- 팀
- 기법
- 테스터
- 그
- XNUMXD덴탈의
- 절도
- 그들의
- 그들
- 그곳에.
- 그들
- 이
- 그
- 위협
- 위협 행위자
- 을 통하여
- 에
- 오늘
- 수단
- 검색을
- 교통
- 이전
- 유형
- 아래에
- 알 수없는
- URL
- 사용
- 확인하는
- 취약점
- 취약점
- 였다
- 방법..
- 웹
- 웹 응용 프로그램
- 웹 애플리케이션
- 웹 서버
- 웹 서비스
- 웹 트래픽
- 웹 사이트
- 언제
- 어느
- 동안
- 의지
- 과
- 없이
- 쓴
- year
- 자신의
- 제퍼 넷