По словам экспертов, веб-оболочки, распространенный тип инструмента пост-эксплуатации, который обеспечивает простой в использовании интерфейс для подачи команд на скомпрометированный сервер, становятся все более популярными, поскольку злоумышленники становятся все более осведомленными об облачных технологиях.
Недавно была замечена веб-оболочка, известная как WSO-NG, маскирующая свой сайт входа в систему под заставку 404 «Страница не найдена», собирающая информацию о потенциальных целях с помощью законных сервисов, таких как VirusTotal, и сканирующая метаданные, связанные с веб-службами Amazon, в качестве пути в краже учетных данных разработчиков, заявила компания по управлению Интернетом Akamai. анализ опубликован 22 ноября.. Другие веб-оболочки были развернуты бандами-вымогателями Cl0p и C3RB3R, причем последняя использовала серверы, на которых работает корпоративный сервер Atlassian Confluence в кампания массовой эксплуатации ранее в этом месяце.
Веб-оболочки стали простым в использовании способом подачи команд на скомпрометированные серверы, поскольку злоумышленники все чаще нацеливаются на облачные ресурсы, говорит Максим Заводчик, директор по исследованию угроз в Akamai.
«Сегодня поверхность атаки, которую допускают веб-приложения, а не только API, очень велика», — говорит он. «Поэтому, когда вы эксплуатируете веб-уязвимость, самым простым следующим шагом будет развертывание веб-платформы — имплантата, чего-то, что не является двоичным файлом, но говорит на том же языке, что и веб-сервер».
Akamai сосредоточился на WSO-NG после его использования в массовой кампании. таргетинг на магазины электронной коммерции Magento 2, но другие группы используют другие веб-оболочки. Группа вымогателей Cl0p, например, удалила веб-оболочки DEWMODE и LEMURLOOT соответственно после эксплуатации уязвимостей в Kiteworks Accellion FTA в 2020 году и в службе управляемой передачи файлов MOVEit компании Progress Software в мае, согласно данным анализ сетевой компании F2023 за июнь 5 г..
В 2021 году Microsoft отметила, что использование веб-оболочек резко возросло: компания увидела почти вдвое больше случаев использования веб-оболочек на отслеживаемых серверах по сравнению с предыдущим годом. указано в анализе. Более поздние данные отсутствуют.
«Веб-оболочки позволяют злоумышленникам запускать команды на серверах для кражи данных или использовать сервер в качестве стартовой площадки для других действий, таких как кража учетных данных, боковое перемещение, развертывание дополнительных полезных данных или действия с клавиатурой, одновременно позволяя злоумышленникам сохраняются в пострадавшей организации», — заявила Microsoft в своем анализе.
Скрытный и анонимный
Одна из причин, по которой злоумышленники обратились к веб-оболочкам, заключается в их способности оставаться незамеченными. Веб-оболочки трудно обнаружить с помощью методов статического анализа, поскольку файлы и код легко изменить. Более того, трафик веб-оболочки (поскольку это всего лишь HTTP или HTTPS) смешивается с ним, что затрудняет его обнаружение при анализе трафика, говорит Заводчик из Akamai.
«Они общаются через одни и те же порты, и это просто еще одна страница веб-сайта», — говорит он. «Это не похоже на классическое вредоносное ПО, которое открывает обратное соединение от сервера к злоумышленнику. Злоумышленник просто просматривает сайт. Вредоносного соединения нет, поэтому от сервера к злоумышленнику не передаются аномальные соединения».
Кроме того, поскольку существует так много готовых веб-оболочек, злоумышленники могут использовать их, не сообщая защитникам их личности. Например, веб-оболочка WSO-NG доступна на GitHub. И Kali Linux имеет открытый исходный код; Это дистрибутив Linux, ориентированный на предоставление простых в использовании инструментов для красных команд и наступательных операций. Он предоставляет 14 различных веб-оболочек, предоставляя тестерам на проникновение возможность загружать и скачивать файлы, выполнять команды, а также создавать и запрашивать базы данных и архивы.
«Когда субъекты угроз APT… переходят от специально адаптированных бинарных имплантатов к веб-оболочкам — либо к своим собственным веб-оболочкам, либо к каким-то общим веб-оболочкам — никто не может приписывать эти факторы конкретным группам», — говорит Заводчик.
Защищайтесь с подозрительной бдительностью
Лучшей защитой является мониторинг веб-трафика на предмет подозрительных шаблонов, аномальных параметров URL-адресов, а также неизвестных URL-адресов и IP-адресов. Проверка целостности серверов также является ключевой защитной тактикой, написал Малкольм Хит, старший исследователь угроз в F5 Networks, в июньском посте о веб-шеллах.
«Мониторинг содержимого каталогов также является хорошим подходом, и существуют некоторые программы, которые могут немедленно обнаруживать изменения в отслеживаемых каталогах и автоматически откатывать изменения», — заявили в компании. «Кроме того, некоторые защитные инструменты позволяют обнаруживать создание аномальных процессов».
Другие методы включают сосредоточение усилий на обнаружении первоначального доступа и развертывании веб-оболочки. Брандмауэры веб-приложений (WAF) с их способностью отслеживать потоки трафика также являются надежными защитными мерами.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :является
- :нет
- 14
- 2020
- 2021
- 2023
- 7
- a
- способность
- О нас
- доступ
- По
- активно
- деятельность
- актеры
- дополнение
- дополнительный
- Дополнительно
- адреса
- пострадавших
- После
- позволять
- Позволяющий
- позволяет
- причислены
- Amazon
- Amazon Web Services
- an
- анализ
- и
- Другой
- API
- Применение
- Приложения
- подхода
- APT
- архивам
- МЫ
- AS
- At
- атаковать
- автоматически
- доступен
- назад
- BE
- , так как:
- становиться
- было
- ЛУЧШЕЕ
- смеси
- но
- by
- Кампания
- CAN
- изменения
- классический
- облако
- код
- Общий
- общаться
- Компания
- сравненный
- Ослабленный
- слияние
- связи
- Коммутация
- содержание
- может
- Создающий
- создание
- ПОЛНОМОЧИЯ
- Полномочия
- данным
- базы данных
- Защитники
- оборонительный
- развертывание
- развернуть
- развертывание
- обнаруживать
- обнаружение
- застройщиков
- различный
- директор
- каталоги
- распределение
- двойной
- скачать
- драматично
- упал
- электронная коммерция
- Ранее
- Простейший
- легко
- Простой в использовании
- или
- Предприятие
- пример
- выполнять
- существовать
- эксперты
- эксплуатация
- Эксплуатируемый
- эксплуатации
- факторы
- Файл
- Файлы
- межсетевые экраны
- Фирма
- Потоки
- внимание
- фокусировка
- после
- Что касается
- найденный
- от
- Gain
- Банды
- сбор
- GitHub
- Отдаете
- Go
- хорошо
- группы
- Группы
- взрослый
- было
- Жесткий
- Есть
- he
- HTTP
- HTTPS
- Личность
- немедленно
- in
- включают
- все больше и больше
- информация
- начальный
- пример
- целостность
- Интерфейс
- Интернет
- IP
- IP-адреса
- вопрос
- эмиссионный
- IT
- ЕГО
- JPG
- июнь
- всего
- Основные
- известный
- язык
- большой
- запуск
- законный
- такое как
- Linux
- Войти
- посмотреть
- Создание
- вредоносных программ
- управляемого
- управление
- многих
- Масса
- массивный
- Сентенция
- Май..
- меры
- Метаданные
- методы
- Microsoft
- изменять
- контролируемый
- Мониторинг
- Месяц
- БОЛЕЕ
- Более того
- двигаться
- движение
- почти
- сетей
- сетей
- следующий
- нет
- отметил,
- ноябрь
- of
- от
- наступление
- on
- ONE
- открытый
- с открытым исходным кодом
- Операционный отдел
- or
- организация
- Другое
- собственный
- площадка
- страница
- параметры
- путь
- паттеранами
- проникновение
- настойчивость
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Популярное
- порты
- После
- размещены
- потенциал
- Предварительный
- процесс
- Программы
- Прогресс
- приводит
- обеспечение
- радар
- вымогателей
- RE
- на самом деле
- причина
- последний
- недавно
- Red
- Связанный
- исследованиям
- исследователь
- Полезные ресурсы
- соответственно
- правую
- Катить
- Run
- Бег
- s
- то же
- сообщили
- говорит
- сканирование
- видя
- видел
- старший
- сервер
- Серверы
- обслуживание
- Услуги
- Оболочка
- сайте
- So
- Software
- твердый
- некоторые
- удалось
- утонченность
- Источник
- специально
- конкретный
- заявил
- статический
- оставаться
- Stealth
- Шаг
- такие
- Поверхность
- подозрительный
- с учетом
- приняты
- переговоры
- цель
- направлена против
- команды
- снижения вреда
- Тестеры
- который
- Ассоциация
- кража
- их
- Их
- Там.
- они
- этой
- те
- угроза
- актеры угрозы
- Через
- в
- сегодня
- инструментом
- инструменты
- трафик
- перевод
- напишите
- под
- неизвестный
- URL
- использование
- проверка
- Уязвимости
- уязвимость
- законопроект
- Путь..
- Web
- веб приложение
- веб-приложений
- веб-сервер
- веб-сервисы
- Интернет-трафик
- Вебсайт
- когда
- , которые
- в то время как
- будете
- без
- писал
- год
- Ты
- зефирнет