Eksperci twierdzą, że powłoki internetowe, powszechny typ narzędzia poeksploatacyjnego, które zapewnia łatwy w obsłudze interfejs umożliwiający wydawanie poleceń zaatakowanym serwerom, stają się coraz bardziej popularne w miarę, jak napastnicy stają się coraz bardziej świadomi chmury.
Niedawno zauważono powłokę internetową znaną jako WSO-NG, która ukrywa swoją witrynę logowania jako stronę powitalną 404 „Nie znaleziono strony”, zbiera informacje o potencjalnych celach za pośrednictwem legalnych usług, takich jak VirusTotal, i skanuje w poszukiwaniu metadanych związanych z usługami Amazon Web Services jako ścieżką do kradzieży danych uwierzytelniających programistów, stwierdziła firma Akamai zajmująca się zarządzaniem Internetem analiza opublikowana 22 listopada. Inne powłoki internetowe zostały wdrożone przez gangi ransomware Cl0p i C3RB3R, przy czym ten ostatni wykorzystywał serwery z serwerem korporacyjnym Atlassian Confluence w kampanię masowego wyzysku wcześniej w tym miesiącu.
Powłoki internetowe stały się łatwym w użyciu sposobem wydawania poleceń zaatakowanym serwerom, ponieważ napastnicy coraz częściej celują w zasoby w chmurze, mówi Maxim Zavodchik, dyrektor ds. badań zagrożeń w firmie Akamai.
„Obecnie powierzchnia ataku, na którą pozwalają aplikacje internetowe — nie tylko interfejsy API — jest naprawdę duża” – mówi. „Jeśli więc wykorzystujesz lukę w zabezpieczeniach sieci Web, następnym najłatwiejszym krokiem będzie wdrożenie platformy internetowej — implantu, czegoś, co nie jest plikiem binarnym, ale mówi tym samym językiem, co serwer sieci Web”.
Akamai skupił się na WSO-NG po jego wykorzystaniu w masowej kampanii targetowanie sklepów e-commerce Magento 2, ale inne grupy używają różnych powłok internetowych. Na przykład grupa ransomware Cl0p upuściła odpowiednio powłoki internetowe DEWMODE i LEMURLOOT po wykorzystaniu luk w zabezpieczeniach Kiteworks Accellion FTA w 2020 r. i usługi zarządzanego przesyłania plików MOVEit firmy Progress Software w maju – wynika z analiza z czerwca 2023 r. przeprowadzona przez firmę sieciową F5.
W 2021 r. Microsoft odnotował, że wykorzystanie powłok internetowych dramatycznie wzrosło, a w porównaniu z rokiem poprzednim firma odnotowała prawie dwukrotnie większą liczbę spotkań z powłokami internetowymi na monitorowanych serwerach. stwierdzono w analizie. Nowsze dane nie są dostępne.
„Powłoki internetowe umożliwiają atakującym uruchamianie poleceń na serwerach w celu kradzieży danych lub używanie serwera jako punktu startowego do innych działań, takich jak kradzież danych uwierzytelniających, przemieszczanie w bok, wdrażanie dodatkowych ładunków lub korzystanie z klawiatury, umożliwiając jednocześnie atakującym utrzymują się w dotkniętej organizacji” – stwierdził Microsoft w swojej analizie.
Ukryty i anonimowy
Jednym z powodów, dla których napastnicy sięgają po powłoki internetowe, jest ich zdolność do pozostania poza zasięgiem radaru. Powłoki internetowe są trudne do wykrycia za pomocą technik analizy statycznej, ponieważ pliki i kod można łatwo modyfikować. Co więcej, ruch powłoki sieciowej — ponieważ jest to tylko protokół HTTP lub HTTPS — dokładnie się z nim łączy, przez co trudno go wykryć za pomocą analizy ruchu, mówi Zavodchik z Akamai.
„Komunikują się na tych samych portach, a to po prostu kolejna strona serwisu” – mówi. „To nie jest tak, jak w przypadku klasycznego złośliwego oprogramowania, które otwiera połączenie zwrotne między serwerem a atakującym. Osoba atakująca po prostu przegląda witrynę. Nie ma żadnego złośliwego połączenia, więc od serwera do atakującego nie przebiegają żadne nietypowe połączenia”.
Ponadto, ponieważ istnieje tak wiele gotowych powłok internetowych, napastnicy mogą z nich korzystać, nie zdradzając obrońcom ich tożsamości. Na przykład powłoka internetowa WSO-NG jest dostępna na GitHubie. Kali Linux jest oprogramowaniem typu open source; jest to dystrybucja Linuksa skupiająca się na dostarczaniu łatwych w użyciu narzędzi dla czerwonych drużyn i operacji ofensywnych, dostarczająca 14 różnych powłok internetowych, dając testerom penetracyjnym możliwość przesyłania i pobierania plików, wykonywania poleceń oraz tworzenia i przeglądania baz danych i archiwów.
„Kiedy ugrupowania zagrażające APT… przechodzą ze specjalnie dostosowanych implantów binarnych na powłoki internetowe — albo własne powłoki internetowe, albo jakieś ogólne powłoki internetowe — nikt nie może przypisać tych czynników konkretnym grupom” – mówi Zavodchik.
Broń się z podejrzaną czujnością
Najlepszymi zabezpieczeniami jest monitorowanie ruchu sieciowego pod kątem podejrzanych wzorców, nieprawidłowych parametrów adresów URL oraz nieznanych adresów URL i IP. Weryfikacja integralności serwerów to także kluczowa taktyka obronna, napisał w czerwcowym poście na temat powłok internetowych Malcolm Heath, starszy badacz zagrożeń w F5 Networks.
„Dobrym podejściem jest także monitorowanie zawartości katalogów. Istnieją programy, które potrafią natychmiast wykryć zmiany w monitorowanych katalogach i automatycznie je cofnąć” – stwierdziła firma. „Dodatkowo niektóre narzędzia obronne pozwalają na wykrycie powstania anomalnego procesu.”
Inne metody obejmują skupienie się na wykrywaniu początkowego dostępu i wdrażaniu powłoki internetowej. Zapory sieciowe aplikacji internetowych (WAF) umożliwiające śledzenie przepływów ruchu są również solidnymi środkami ochronnymi.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :Jest
- :nie
- 14
- 2020
- 2021
- 2023
- 7
- a
- zdolność
- O nas
- dostęp
- Stosownie
- zajęcia
- działalność
- aktorzy
- dodatek
- Dodatkowy
- do tego
- Adresy
- afektowany
- Po
- dopuszczać
- Pozwalać
- pozwala
- również
- Amazonka
- Amazon Web Services
- an
- analiza
- i
- Inne
- Pszczoła
- Zastosowanie
- aplikacje
- podejście
- APT
- archiwum
- SĄ
- AS
- At
- atakować
- automatycznie
- dostępny
- z powrotem
- BE
- bo
- stają się
- być
- BEST
- mieszanki
- ale
- by
- Kampania
- CAN
- Zmiany
- klasyczny
- Chmura
- kod
- wspólny
- komunikować
- sukcesy firma
- w porównaniu
- Zagrożone
- zbieg
- połączenie
- połączenia
- zawartość
- mógłby
- Tworzenie
- tworzenie
- POŚWIADCZENIE
- Listy uwierzytelniające
- dane
- Bazy danych
- obrońcy
- obronny
- rozwijać
- wdrażane
- Wdrożenie
- wykryć
- Wykrywanie
- deweloperzy
- różne
- Dyrektor
- katalogi
- 分配
- Podwójna
- pobieranie
- dramatycznie
- porzucone
- e-commerce
- Wcześniej
- Najprostszym
- łatwo
- łatwy w użyciu
- bądź
- Enterprise
- przykład
- wykonać
- istnieć
- eksperci
- eksploatacja
- eksploatowany
- wykorzystywanie
- Czynniki
- filet
- Akta
- Zapory
- Firma
- Przepływy
- koncentruje
- skupienie
- następujący
- W razie zamówieenia projektu
- znaleziono
- od
- Wzrost
- Gangi
- zebranie
- GitHub
- Dający
- Go
- dobry
- Zarządzanie
- Grupy
- dorosły
- miał
- Ciężko
- Have
- he
- http
- HTTPS
- tożsamość
- natychmiast
- in
- zawierać
- coraz bardziej
- Informacja
- początkowy
- przykład
- integralność
- Interfejs
- Internet
- IP
- Adresy IP
- problem
- wydawanie
- IT
- JEGO
- jpg
- czerwiec
- właśnie
- Klawisz
- znany
- język
- duży
- uruchomić
- prawowity
- lubić
- linux
- Zaloguj Się
- Popatrz
- Dokonywanie
- malware
- zarządzane
- i konserwacjami
- wiele
- Masa
- masywny
- Maksyma
- Może..
- środków
- Metadane
- metody
- Microsoft
- modyfikować
- monitorowane
- monitorowanie
- Miesiąc
- jeszcze
- Ponadto
- ruch
- ruch
- prawie
- sieci
- sieci
- Następny
- Nie
- zauważyć
- listopada
- of
- poza
- obraźliwy
- on
- ONE
- koncepcja
- open source
- operacje
- or
- organizacja
- Inne
- własny
- ścieżka
- strona
- parametry
- ścieżka
- wzory
- penetracja
- uporczywość
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- Popularny
- porty
- Post
- napisali
- potencjał
- Wcześniejszy
- wygląda tak
- Programy
- Postęp
- zapewnia
- że
- radar
- ransomware
- RE
- naprawdę
- powód
- niedawny
- niedawno
- Czerwony
- związane z
- Badania naukowe
- badacz
- Zasoby
- odpowiednio
- prawo
- Rolka
- run
- bieganie
- s
- taki sam
- powiedzieć
- mówią
- skanowanie
- widzenie
- widziany
- senior
- serwer
- Serwery
- usługa
- Usługi
- Powłoka
- witryna internetowa
- So
- Tworzenie
- solidny
- kilka
- coś
- sofistyka
- Źródło
- specjalnie
- specyficzny
- stwierdził,
- statyczny
- pobyt
- Stealth
- Ewolucja krok po kroku
- taki
- Powierzchnia
- podejrzliwy
- dostosowane
- Zadania
- Rozmowy
- cel
- cele
- Zespoły
- Techniki
- testerzy
- że
- Połączenia
- kradzież
- ich
- Im
- Tam.
- one
- to
- tych
- groźba
- podmioty grożące
- Przez
- do
- już dziś
- narzędzie
- narzędzia
- ruch drogowy
- przenieść
- rodzaj
- dla
- nieznany
- URL
- posługiwać się
- weryfikacja
- Luki w zabezpieczeniach
- wrażliwość
- była
- Droga..
- sieć
- Aplikacja internetowa
- Aplikacje internetowe
- serwer wWW
- usługi internetowe
- Ruch internetowy
- Strona internetowa
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- będzie
- w
- bez
- napisał
- rok
- You
- zefirnet