Web shell-urile, un tip comun de instrument de post-exploatare care oferă o interfață ușor de utilizat prin care să emită comenzi către un server compromis, au devenit din ce în ce mai populare pe măsură ce atacatorii devin mai conștienți de cloud, spun experții.
Un shell web cunoscut sub numele de WSO-NG a fost văzut recent deghându-și site-ul de conectare ca o pagină de deschidere 404 „Pagină negăsită”, adunând informații despre ținte potențiale prin servicii legitime, cum ar fi VirusTotal și scanând metadate legate de Amazon Web Services ca cale. pentru a fura acreditările dezvoltatorilor, a declarat firma de administrare a internetului Akamai în o analiză postată pe 22 noiembrie. Alte shell-uri Web au fost implementate de grupele de ransomware Cl0p și C3RB3R, acesta din urmă care a exploatat servere care rulează serverul de întreprindere Atlassian Confluence în o campanie de exploatare în masă mai devreme luna asta.
Web shell-urile au devenit o modalitate ușor de utilizat de a emite comenzi către serverele compromise, deoarece atacatorii vizează tot mai mult resursele din cloud, spune Maxim Zavodchik, director de cercetare a amenințărilor la Akamai.
„Astăzi, suprafața de atac pe care o permit aplicațiile web – nu doar API-urile – este foarte mare”, spune el. „Așadar, atunci când exploatezi o vulnerabilitate Web, următorul pas cel mai ușor va fi să implementezi o platformă web – un implant, ceva care nu este un binar, dar vorbește același limbaj ca și serverul web.”
Akamai s-a concentrat pe WSO-NG în urma utilizării acestuia într-o campanie masivă care vizează magazinele de comerț electronic Magento 2, dar alte grupuri folosesc shell-uri Web diferite. Grupul de ransomware Cl0p, de exemplu, a renunțat la shell-urile web DEWMODE și LEMURLOOT, după ce a exploatat vulnerabilitățile din Kiteworks Accellion FTA în 2020 și serviciul de transfer de fișiere gestionat MOVEit de la Progress Software în mai, potrivit datelor. o analiză din iunie 2023 realizată de firma de rețele F5.
În 2021, Microsoft a remarcat că utilizarea shell-urilor Web a crescut dramatic, compania înregistrând aproape dublul întâlnirilor de shell-uri Web pe servere monitorizate, comparativ cu anul anterior, compania. afirmat într-o analiză. Date mai recente nu sunt disponibile.
„Web shell-urile permit atacatorilor să execute comenzi pe servere pentru a fura date sau pentru a folosi serverul ca [o] rampă de lansare pentru alte activități, cum ar fi furtul de acreditări, mișcarea laterală, desfășurarea de încărcături suplimentare sau activități de la tastatură, permițând în același timp atacatorilor să persistă într-o organizație afectată”, a declarat Microsoft în analiza sa.
Ascuns și Anonim
Unul dintre motivele pentru care atacatorii au folosit shell-urile Web este din cauza capacității lor de a rămâne sub radar. Shell-urile web sunt greu de detectat cu tehnici de analiză statică, deoarece fișierele și codul sunt atât de ușor de modificat. În plus, traficul Web shell - deoarece este doar HTTP sau HTTPS - se integrează direct, făcându-l greu de detectat cu analiza traficului, spune Zavodchik de la Akamai.
„Ei comunică pe aceleași porturi și este doar o altă pagină a site-ului web”, spune el. „Nu este ca malware-ul clasic care va deschide conexiunea înapoi de la server la atacator. Atacatorul doar navighează pe site. Nu există nicio conexiune rău intenționată, așa că nicio conexiune anormală nu trece de la server la atacator.”
În plus, deoarece există atât de multe shell-uri Web disponibile, atacatorii le pot folosi fără a anunța apărătorii cu privire la identitatea lor. Shell-ul web WSO-NG, de exemplu, este disponibil pe GitHub. Și Kali Linux este open source; este o distribuție Linux axată pe furnizarea de instrumente ușor de utilizat pentru echipele roșii și operațiunile ofensive și oferă 14 shell-uri web diferite, oferind testerilor de penetrare posibilitatea de a încărca și descărca fișiere, de a executa comenzi și de a crea și interoga baze de date și arhive.
„Când actorii de amenințări APT... trec de la implanturi binare special adaptate la shell-uri web – fie propriile lor shell-uri web, fie unele shell-uri web generice – nimeni nu ar putea atribui acești factori unor grupuri specifice”, spune Zavodchik.
Apără-te cu vigilență suspectă
Cele mai bune apărări sunt monitorizarea traficului web pentru modele suspecte, parametri URL anomali și adrese URL și adrese IP necunoscute. Verificarea integrității serverelor este, de asemenea, o tactică defensivă cheie, a scris Malcolm Heath, un cercetător senior în domeniul amenințărilor la F5 Networks, într-o postare din iunie despre shell-urile web.
„Monitorizarea conținutului directoarelor este, de asemenea, o abordare bună și există unele programe care pot detecta imediat modificări ale directoarelor monitorizate și pot anula automat modificările”, a declarat compania. „În plus, unele instrumente defensive permit detectarea creării anormale a proceselor.”
Alte metode includ concentrarea pe detectarea accesului inițial și implementarea unui shell Web. Firewall-urile pentru aplicații web (WAF), cu capacitatea lor de a analiza fluxurile de trafic, sunt, de asemenea, măsuri defensive solide.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :este
- :nu
- 14
- 2020
- 2021
- 2023
- 7
- a
- capacitate
- Despre Noi
- acces
- Conform
- activităţi de
- activitate
- actori
- plus
- Suplimentar
- În plus,
- adrese
- afectat
- După
- permite
- Permiterea
- permite
- de asemenea
- Amazon
- Amazon Web Services
- an
- analiză
- și
- O alta
- API-uri
- aplicație
- aplicatii
- abordare
- APT
- arhive
- SUNT
- AS
- At
- ataca
- în mod automat
- disponibil
- înapoi
- BE
- deoarece
- deveni
- fost
- CEL MAI BUN
- amestecuri
- dar
- by
- Campanie
- CAN
- Modificări
- clasic
- Cloud
- cod
- Comun
- comunica
- companie
- comparație
- compromis
- confluenţă
- conexiune
- Conexiuni
- conţinut
- ar putea
- Crearea
- creaţie
- CREDENTIALĂ
- scrisori de acreditare
- de date
- baze de date
- apărătorii
- defensivă
- implementa
- dislocate
- desfășurarea
- detecta
- Detectare
- Dezvoltatorii
- diferit
- Director
- directoare
- distribuire
- dubla
- Descarca
- dramatic
- scăzut
- e-commerce
- Mai devreme
- Cel mai simplu
- uşor
- ușor de folosit
- oricare
- Afacere
- exemplu
- a executa
- exista
- experți
- exploatare
- exploatat
- exploatând
- factori
- Fișier
- Fişiere
- firewall-uri
- Firmă
- fluxurilor
- concentrat
- concentrându-se
- următor
- Pentru
- găsit
- din
- Câştig
- bandele
- culegere
- GitHub
- Oferirea
- Go
- bine
- grup
- Grupului
- crescut
- HAD
- Greu
- Avea
- he
- http
- HTTPS
- Identitate
- imediat
- in
- include
- tot mai mult
- informații
- inițială
- instanță
- integritate
- interfaţă
- Internet
- IP
- Adresele IP
- problema
- emitent
- IT
- ESTE
- jpg
- iunie
- doar
- Cheie
- cunoscut
- limbă
- mare
- lansa
- legitim
- ca
- linux
- Logare
- Uite
- Efectuarea
- malware
- gestionate
- administrare
- multe
- Masa
- masiv
- Maximă
- Mai..
- măsuri
- Metadata
- Metode
- Microsoft
- modifica
- monitorizate
- Monitorizarea
- Lună
- mai mult
- În plus
- muta
- mişcare
- aproape
- rețele
- rețele
- următor
- Nu.
- notat
- nov
- of
- de pe
- ofensator
- on
- ONE
- deschide
- open-source
- Operațiuni
- or
- organizație
- Altele
- propriu
- tampon
- pagină
- parametrii
- cărare
- modele
- pătrundere
- persistență
- platformă
- Plato
- Informații despre date Platon
- PlatoData
- Popular
- porturi
- Post
- postat
- potenţial
- anterior
- proces
- Programe
- Progres
- furnizează
- furnizarea
- radar
- Ransomware
- RE
- într-adevăr
- motiv
- recent
- recent
- Roșu
- legate de
- cercetare
- cercetător
- Resurse
- respectiv
- dreapta
- sul
- Alerga
- funcţionare
- s
- acelaşi
- Spune
- spune
- scanare
- vedere
- văzut
- senior
- serverul
- Servere
- serviciu
- Servicii
- Coajă
- teren
- So
- Software
- solid
- unele
- ceva
- rafinament
- Sursă
- special
- specific
- stabilit
- static
- şedere
- Stealth
- Pas
- astfel de
- Suprafață
- suspicios
- adaptate
- luate
- Tratative
- Ţintă
- obiective
- echipe
- tehnici de
- testere
- acea
- furt
- lor
- Lor
- Acolo.
- ei
- acest
- aceste
- amenințare
- actori amenințători
- Prin
- la
- astăzi
- instrument
- Unelte
- trafic
- transfer
- tip
- în
- necunoscut
- URL-ul
- utilizare
- verificarea
- Vulnerabilitățile
- vulnerabilitate
- a fost
- Cale..
- web
- aplicatie web
- aplicații web
- server de web
- servicii web
- Trafic web
- website
- cand
- care
- în timp ce
- voi
- cu
- fără
- scris
- an
- Tu
- zephyrnet