Webshells, een veelgebruikte post-exploitatietool die een eenvoudig te gebruiken interface biedt waarmee opdrachten aan een gecompromitteerde server kunnen worden gegeven, zijn steeds populairder geworden naarmate aanvallers zich meer bewust zijn van de cloud, zeggen experts.
Onlangs werd een webshell bekend als WSO-NG gezien die zijn inlogsite vermomde als een 404 โPage Not Foundโ splash-pagina, waarbij informatie werd verzameld over potentiรซle doelwitten via legitieme diensten zoals VirusTotal, en als een pad werd gescand op metadata gerelateerd aan Amazon Web Services. om de inloggegevens van ontwikkelaars te stelen, aldus internetbeheerbedrijf Akamai een analyse gepost op 22 november. Andere webshells zijn ingezet door de ransomwarebendes Cl0p en C3RB3R, waarbij laatstgenoemde servers exploiteerde waarop de Atlassian Confluence-bedrijfsserver draaide een massale uitbuitingscampagne eerder deze maand.
Webshells zijn een gebruiksvriendelijke manier geworden om opdrachten te geven aan gecompromitteerde servers, nu aanvallers zich steeds meer op cloudbronnen richten, zegt Maxim Zavodchik, directeur bedreigingsonderzoek bij Akamai.
โTegenwoordig is het aanvalsoppervlak dat webapplicaties โ en niet alleen APIโs โ mogelijk maken erg grootโ, zegt hij. "Dus als je misbruik maakt van een kwetsbaarheid op het web, is de eenvoudigste volgende stap het inzetten van een webplatform: een implantaat, iets dat niet binair is, maar dezelfde taal spreekt als de webserver."
Akamai concentreerde zich op WSO-NG nadat het in een grootschalige campagne was gebruikt gericht op Magento 2 e-commerce winkels, maar andere groepen gebruiken verschillende webshells. De Cl0p-ransomwaregroep liet bijvoorbeeld respectievelijk de DEWMODE- en LEMURLOOT Web-shells vallen na misbruik te hebben gemaakt van kwetsbaarheden in Kiteworks Accellion FTA in 2020 en Progress Software's MOVEit beheerde bestandsoverdrachtservice in mei, volgens een analyse uit juni 2023 door netwerkbedrijf F5.
In 2021 merkte Microsoft op dat het gebruik van webshells dramatisch was gegroeid, waarbij het bedrijf bijna het dubbele aantal webshells op bewaakte servers zag vergeleken met het jaar ervoor. vermeld in een analyse. Recentere gegevens zijn niet beschikbaar.
โWebshells stellen aanvallers in staat opdrachten uit te voeren op servers om gegevens te stelen of de server te gebruiken als lanceerplatform voor andere activiteiten, zoals diefstal van inloggegevens, zijdelingse verplaatsing, inzet van extra ladingen of hands-on-toetsenbordactiviteit, terwijl aanvallers de mogelijkheid krijgen om blijven bestaan โโin een getroffen organisatieโ, aldus Microsoft in zijn analyse.
Heimelijk en anoniem
Eรฉn reden waarom aanvallers gebruik maken van webshells is omdat ze onder de radar kunnen blijven. Webshells zijn moeilijk te detecteren met statische analysetechnieken, omdat de bestanden en code zo gemakkelijk aan te passen zijn. Bovendien past webshell-verkeer (omdat het alleen maar HTTP of HTTPS is) precies in het systeem, waardoor het moeilijk te detecteren is met verkeersanalyse, zegt Zavodchik van Akamai.
"Ze communiceren via dezelfde poorten, en het is gewoon een andere pagina van de website", zegt hij. โHet is niet zoals de klassieke malware die de verbinding tussen de server en de aanvaller opent. De aanvaller surft gewoon op de website. Er is geen kwaadaardige verbinding, dus er gaan geen afwijkende verbindingen van de server naar de aanvaller.โ
Omdat er zoveel kant-en-klare webshells zijn, kunnen aanvallers deze bovendien gebruiken zonder de verdedigers te vertellen over hun identiteit. De WSO-NG Webshell is bijvoorbeeld beschikbaar op GitHub. En Kali Linux is open source; het is een Linux-distributie gericht op het leveren van eenvoudig te gebruiken tools voor rode teams en offensieve operaties, en het biedt 14 verschillende webshells, waardoor penetratietesters bestanden kunnen uploaden en downloaden, opdrachten kunnen uitvoeren en databases en archieven kunnen maken en doorzoeken.
โWanneer APT-bedreigingsactoren โฆ overstappen van speciaal op maat gemaakte binaire implantaten naar webshells โ hun eigen webshells of enkele generieke webshells โ kan niemand deze factoren aan de specifieke groepen toeschrijvenโ, zegt Zavodchik.
Verdedig met verdachte waakzaamheid
De beste verdediging is het monitoren van internetverkeer op verdachte patronen, afwijkende URL-parameters en onbekende URL's en IP-adressen. Het verifiรซren van de integriteit van de servers is ook een belangrijke verdedigingstactiek, schreef Malcolm Heath, een senior dreigingsonderzoeker bij F5 Networks, in een bericht van juni over Web shells.
โHet monitoren van de inhoud van directoryโs is ook een goede aanpak, en er bestaan โโprogrammaโs die wijzigingen in gecontroleerde directoryโs onmiddellijk kunnen detecteren en wijzigingen automatisch kunnen terugdraaienโ, aldus het bedrijf. โBovendien maken sommige defensieve tools het mogelijk om abnormale procescreatie te detecteren.โ
Andere methoden zijn onder meer het focussen op het detecteren van de initiรซle toegang en de implementatie van een webshell. Webapplicatiefirewalls (WAF's) zijn, met hun vermogen om verkeersstromen te bekijken, ook solide verdedigingsmaatregelen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :is
- :niet
- 14
- 2020
- 2021
- 2023
- 7
- a
- vermogen
- Over
- toegang
- Volgens
- activiteiten
- activiteit
- actoren
- toevoeging
- Extra
- Daarnaast
- adressen
- beรฏnvloed
- Na
- toelaten
- Het toestaan
- toestaat
- ook
- Amazone
- Amazon Web Services
- an
- analyse
- en
- Nog een
- APIs
- Aanvraag
- toepassingen
- nadering
- APT
- archief
- ZIJN
- AS
- At
- aanvallen
- webmaster.
- Beschikbaar
- terug
- BE
- omdat
- worden
- geweest
- BEST
- blends
- maar
- by
- Campagne
- CAN
- Wijzigingen
- klassiek
- Cloud
- code
- Gemeen
- communiceren
- afstand
- vergeleken
- Aangetast
- samenvloeiing
- versterken
- aansluitingen
- content
- kon
- Wij creรซren
- het aanmaken
- IDENTIFICATIE
- Geloofsbrieven
- gegevens
- databanken
- verdedigers
- defensief
- implementeren
- ingezet
- inzet
- opsporen
- Opsporing
- ontwikkelaars
- anders
- Director
- directories
- distributie
- verdubbelen
- Download
- dramatisch
- liet vallen
- e-commerce
- Vroeger
- gemakkelijkste
- En het is heel gemakkelijk
- gemakkelijk te gebruiken
- beide
- Enterprise
- voorbeeld
- uitvoeren
- bestaan
- deskundigen
- exploitatie
- Exploited
- uitbuiten
- factoren
- Dien in
- Bestanden
- firewalls
- Stevig
- Stromen
- gericht
- gericht
- volgend
- Voor
- gevonden
- oppompen van
- Krijgen
- gangs
- verzameling
- GitHub
- Vrijgevigheid
- Go
- goed
- Groep
- Groep
- gegroeid
- HAD
- Hard
- Hebben
- he
- http
- HTTPS
- Identiteit
- per direct
- in
- omvatten
- in toenemende mate
- informatie
- eerste
- instantie
- integriteit
- Interface
- Internet
- IP
- IP adressen
- kwestie
- uitgevende
- IT
- HAAR
- jpg
- juni
- voor slechts
- sleutel
- bekend
- taal
- Groot
- lancering
- rechtmatig
- als
- linux
- Log in
- Kijk
- maken
- malware
- beheerd
- management
- veel
- Massa
- massief
- Maxim
- Mei..
- maatregelen
- Metadata
- methoden
- Microsoft
- wijzigen
- bewaakt
- Grensverkeer
- Maand
- meer
- Bovendien
- beweging
- beweging
- bijna
- netwerken
- netwerken
- volgende
- geen
- bekend
- november
- of
- korting
- aanvallend
- on
- EEN
- open
- open source
- Operations
- or
- organisatie
- Overige
- het te bezitten.
- stootkussen
- pagina
- parameters
- weg
- patronen
- doordringen
- volharding
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- Populair
- havens
- Post
- geplaatst
- potentieel
- Voorafgaand
- Programma's
- Voortgang
- biedt
- het verstrekken van
- radar
- ransomware
- RE
- werkelijk
- reden
- recent
- onlangs
- Rood
- verwant
- onderzoek
- onderzoeker
- Resources
- respectievelijk
- rechts
- Rollen
- lopen
- lopend
- s
- dezelfde
- ervaren
- zegt
- het scannen
- te zien
- gezien
- senior
- server
- Servers
- service
- Diensten
- Shell
- website
- So
- Software
- solide
- sommige
- iets
- verfijning
- bron
- speciaal
- specifiek
- bepaald
- statisch
- blijven
- Stealth
- Stap voor
- dergelijk
- Oppervlak
- verdacht
- op maat gemaakt
- ingenomen
- Talks
- doelwit
- doelen
- teams
- technieken
- testers
- dat
- De
- diefstal
- hun
- Ze
- Er.
- ze
- dit
- die
- bedreiging
- bedreigingsactoren
- Door
- naar
- vandaag
- tools
- tools
- verkeer
- overdracht
- type dan:
- voor
- onbekend
- URL
- .
- het verifiรซren
- kwetsbaarheden
- kwetsbaarheid
- was
- Manier..
- web
- web applicatie
- Webapplicaties
- webserver
- webservices
- Verkeer van het web
- Website
- wanneer
- welke
- en
- wil
- Met
- zonder
- schreef
- jaar
- You
- zephyrnet