Web-skall, en vanlig type post-utnyttelsesverktøy som gir brukervennlig grensesnitt for å gi kommandoer til en kompromittert server, har blitt stadig mer populært ettersom angripere blir mer skybevisste, sier eksperter.
Et nettskall kjent som WSO-NG ble nylig sett skjule påloggingssiden som en 404 "Page Not Found"-splash-side, samle informasjon om potensielle mål gjennom legitime tjenester som VirusTotal, og skanning etter metadata relatert til Amazon Web Services som en vei å stjele utviklernes legitimasjon, uttalte internettadministrasjonsfirmaet Akamai i en analyse lagt ut 22. november. Andre web-skall har blitt distribuert av Cl0p- og C3RB3R-ransomware-gjengene, sistnevnte som utnyttet servere som kjører Atlassian Confluence enterprise-server i en masseutnyttelseskampanje tidligere denne måneden.
Nettskall har blitt en brukervennlig måte å gi kommandoer til kompromitterte servere ettersom angripere i økende grad retter seg mot skyressurser, sier Maxim Zavodchik, trusselforskningsdirektør ved Akamai.
"I dag er angrepsoverflaten som nettapplikasjoner - ikke bare APIer - tillater, veldig stor," sier han. "Så når du utnytter en nettsårbarhet, vil det enkleste neste trinnet være å distribuere en webplattform - et implantat, noe som ikke er binært, men som snakker samme språk som webserveren."
Akamai fokuserte på WSO-NG etter bruken i en massiv kampanje rettet mot Magento 2 e-handelsbutikker, men andre grupper bruker andre web-skall. Cl0p ransomware-gruppen droppet for eksempel DEWMODE og LEMURLOOT web-skallene etter å ha utnyttet sårbarheter i Kiteworks Accellion FTA i 2020 og Progress Softwares MOVEit-administrerte filoverføringstjeneste i mai, ifølge en analyse fra juni 2023 av nettverksfirmaet F5.
I 2021 bemerket Microsoft at bruken av nettskjell hadde vokst dramatisk, og selskapet så nesten dobbelt så mange nettskjell på overvåkede servere sammenlignet med året før. oppgitt i en analyse. Nyere data er ikke tilgjengelig.
"Web-skall lar angripere kjøre kommandoer på servere for å stjele data eller bruke serveren som [en] oppskytningsrampe for andre aktiviteter som legitimasjonstyveri, sidebevegelse, utplassering av ekstra nyttelast eller hands-on-keyboard-aktivitet, samtidig som det lar angripere vedvare i en berørt organisasjon», uttalte Microsoft i sin analyse.
Stealthy og anonym
En grunn til at angripere har tatt til web-skjell er på grunn av deres evne til å holde seg under radaren. Nettskjell er vanskelig å oppdage med statiske analyseteknikker, fordi filene og koden er så enkle å endre. Dessuten smelter nettskalltrafikk - fordi det bare er HTTP eller HTTPS - inn, noe som gjør det vanskelig å oppdage med trafikkanalyse, sier Akamais Zavodchik.
"De kommuniserer på de samme portene, og det er bare en annen side på nettstedet," sier han. "Det er ikke som den klassiske skadelige programvaren som vil åpne forbindelsen tilbake fra serveren til angriperen. Angriperen surfer bare på nettstedet. Det er ingen ondsinnet tilkobling, så ingen unormale tilkoblinger går fra serveren til angriperen.»
I tillegg, fordi det er så mange off-the-sokkel web-skjell, kan angripere bruke dem uten å tipse forsvarere om deres identitet. WSO-NG Web-skallet er for eksempel tilgjengelig på GitHub. Og Kali Linux er åpen kildekode; det er en Linux-distribusjon fokusert på å tilby brukervennlige verktøy for røde team og offensive operasjoner, og den gir 14 forskjellige web-skall, som gir penetrasjonstestere muligheten til å laste opp og laste ned filer, utføre kommandoer og opprette og spørre databaser og arkiver.
"Når APT-trusselaktører ... flytter fra spesialtilpassede binære implantater til nettskjell - enten deres egne nettskall eller noen generiske nettskall - kan ingen tilskrive disse faktorene til de spesifikke gruppene," sier Zavodchik.
Forsvar med mistenkelig årvåkenhet
Det beste forsvaret er å overvåke nettrafikk for mistenkelige mønstre, unormale URL-parametere og ukjente URL-er og IP-adresser. Å verifisere integriteten til serverne er også en viktig defensiv taktikk, skrev Malcolm Heath, en senior trusselforsker ved F5 Networks, i et innlegg i juni på web-skaller.
"Overvåking av kataloginnhold er også en god tilnærming, og noen programmer eksisterer som kan oppdage endringer i overvåkede kataloger umiddelbart og rulle tilbake endringer automatisk," sa selskapet. "I tillegg tillater noen defensive verktøy å oppdage unormal prosessoppretting."
Andre metoder inkluderer fokus på å oppdage den første tilgangen og distribusjonen av et web-skall. Brannmurer for nettapplikasjoner (WAF), med sin evne til å se på trafikkstrømmer, er også solide defensive tiltak.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :er
- :ikke
- 14
- 2020
- 2021
- 2023
- 7
- a
- evne
- Om oss
- adgang
- Ifølge
- Aktiviteter
- aktivitet
- aktører
- tillegg
- Ytterligere
- I tillegg
- adresser
- påvirkes
- Etter
- tillate
- tillate
- tillater
- også
- Amazon
- Amazon Web Services
- an
- analyse
- og
- En annen
- APIer
- Søknad
- søknader
- tilnærming
- APT
- arkiv
- ER
- AS
- At
- angripe
- automatisk
- tilgjengelig
- tilbake
- BE
- fordi
- bli
- vært
- BEST
- blander
- men
- by
- Kampanje
- CAN
- Endringer
- Classic
- Cloud
- kode
- Felles
- kommunisere
- Selskapet
- sammenlignet
- kompromittert
- sammenløp
- tilkobling
- Tilkoblinger
- innhold
- kunne
- Opprette
- skaperverket
- KREDENSISJON
- Credentials
- dato
- databaser
- Defenders
- defensiv
- utplassere
- utplassert
- distribusjon
- oppdage
- Gjenkjenning
- utviklere
- forskjellig
- Regissør
- kataloger
- distribusjon
- dobbelt
- nedlasting
- dramatisk
- droppet
- e-handel
- Tidligere
- enkleste
- lett
- lett-å-bruke
- enten
- Enterprise
- eksempel
- henrette
- eksisterer
- eksperter
- utnytting
- Exploited
- utnytte
- faktorer
- filet
- Filer
- brannmurer
- Firm
- Flows
- fokuserte
- fokusering
- etter
- Til
- funnet
- fra
- Gevinst
- Gangs
- samle
- GitHub
- Giving
- Go
- god
- Gruppe
- Gruppens
- voksen
- HAD
- Hard
- Ha
- he
- http
- HTTPS
- Identitet
- umiddelbart
- in
- inkludere
- stadig
- informasjon
- innledende
- f.eks
- integritet
- Interface
- Internet
- IP
- IP-adresser
- utstedelse
- utstedelse
- IT
- DET ER
- jpg
- juni
- bare
- nøkkel
- kjent
- Språk
- stor
- lansere
- legitim
- i likhet med
- linux
- Logg inn
- Se
- Making
- malware
- fikk til
- ledelse
- mange
- Mass
- massive
- Leveregel
- Kan..
- målinger
- metadata
- metoder
- Microsoft
- modifisere
- overvåket
- overvåking
- Måned
- mer
- Videre
- flytte
- bevegelse
- nesten
- nettverk
- nettverk
- neste
- Nei.
- bemerket
- november
- of
- off
- støtende
- on
- ONE
- åpen
- åpen kildekode
- Drift
- or
- organisasjon
- Annen
- egen
- pad
- side
- parametere
- pathway
- mønstre
- penetration
- utholdenhet
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Populær
- porter
- Post
- postet
- potensiell
- Før
- prosess
- programmer
- Progress
- gir
- gi
- radar
- ransomware
- RE
- virkelig
- grunnen til
- nylig
- nylig
- Rød
- i slekt
- forskning
- forsker
- Ressurser
- henholdsvis
- ikke sant
- Rull
- Kjør
- rennende
- s
- samme
- sier
- sier
- skanning
- se
- sett
- senior
- server
- Servere
- tjeneste
- Tjenester
- Shell
- nettstedet
- So
- Software
- solid
- noen
- noe
- raffinement
- kilde
- spesielt
- spesifikk
- uttalte
- statisk
- opphold
- Stealth
- Trinn
- slik
- overflaten
- mistenkelig
- skreddersydd
- tatt
- Snakker
- Target
- mål
- lag
- teknikker
- testere
- Det
- De
- tyveri
- deres
- Dem
- Der.
- de
- denne
- De
- trussel
- trusselaktører
- Gjennom
- til
- i dag
- verktøy
- verktøy
- trafikk
- overføre
- typen
- etter
- ukjent
- URL
- bruke
- verifisere
- Sikkerhetsproblemer
- sårbarhet
- var
- Vei..
- web
- Webapplikasjon
- nettapplikasjoner
- webserveren
- webtjenester
- Nettrafikk
- Nettsted
- når
- hvilken
- mens
- vil
- med
- uten
- skrev
- år
- Du
- zephyrnet