Web Shells ซึ่งเป็นเครื่องมือหลังการแสวงหาผลประโยชน์ทั่วไปที่มีอินเทอร์เฟซที่ใช้งานง่ายสำหรับออกคำสั่งไปยังเซิร์ฟเวอร์ที่ถูกบุกรุก ได้รับความนิยมมากขึ้นเรื่อยๆ เมื่อผู้โจมตีเริ่มรู้จักระบบคลาวด์มากขึ้น ผู้เชี่ยวชาญกล่าว
เมื่อเร็วๆ นี้ Web Shell ที่รู้จักกันในชื่อ WSO-NG ปลอมแปลงไซต์เข้าสู่ระบบเป็นหน้าสแปลช 404 “Page Not Found” โดยรวบรวมข้อมูลเกี่ยวกับเป้าหมายที่เป็นไปได้ผ่านบริการที่ถูกต้องตามกฎหมาย เช่น VirusTotal และการสแกนหาข้อมูลเมตาที่เกี่ยวข้องกับ Amazon Web Services เป็นเส้นทาง เพื่อขโมยข้อมูลประจำตัวของนักพัฒนา บริษัทจัดการอินเทอร์เน็ต Akamai กล่าว บทวิเคราะห์ที่โพสต์เมื่อวันที่ 22 พ.ย. Web Shell อื่นๆ ได้รับการปรับใช้โดยแก๊งแรนซัมแวร์ Cl0p และ C3RB3R ซึ่งกลุ่มหลังนี้ใช้ประโยชน์จากเซิร์ฟเวอร์ที่รันเซิร์ฟเวอร์องค์กร Atlassian Confluence การรณรงค์แสวงหาผลประโยชน์จากมวลชน เดือนก่อนหน้านี้
เว็บเชลล์กลายเป็นวิธีที่ง่ายต่อการใช้งานในการออกคำสั่งไปยังเซิร์ฟเวอร์ที่ถูกบุกรุก เนื่องจากผู้โจมตีกำหนดเป้าหมายไปที่ทรัพยากรคลาวด์มากขึ้น Maxim Zavodchik ผู้อำนวยการวิจัยภัยคุกคามของ Akamai กล่าว
“ทุกวันนี้ พื้นผิวการโจมตีที่เว็บแอปพลิเคชัน — ไม่ใช่แค่ API — อนุญาตนั้นมีขนาดใหญ่มาก” เขากล่าว “ดังนั้นเมื่อคุณใช้ประโยชน์จากช่องโหว่ของเว็บ ขั้นตอนต่อไปที่ง่ายที่สุดคือการปรับใช้แพลตฟอร์มเว็บ — การฝัง ซึ่งเป็นสิ่งที่ไม่ใช่ไบนารี่ แต่พูดภาษาเดียวกับเว็บเซิร์ฟเวอร์”
Akamai มุ่งเน้นไปที่ WSO-NG หลังจากใช้งานในแคมเปญขนาดใหญ่ กำหนดเป้าหมายร้านค้าอีคอมเมิร์ซ Magento 2แต่กลุ่มอื่นๆ ใช้ Web Shell ที่แตกต่างกัน ตัวอย่างเช่น กลุ่มมัลแวร์เรียกค่าไถ่ Cl0p ได้ทิ้ง DEWMODE และ LEMURLOOT Web Shells ตามลำดับ หลังจากใช้ประโยชน์จากช่องโหว่ใน Kiteworks Accellion FTA ในปี 2020 และบริการถ่ายโอนไฟล์ที่จัดการ MOVEit ของ Progress Software ในเดือนพฤษภาคม ตามข้อมูลของ การวิเคราะห์เดือนมิถุนายน 2023 โดยบริษัทเครือข่าย F5.
ในปี 2021 Microsoft ตั้งข้อสังเกตว่าการใช้ Web Shells ได้เติบโตขึ้นอย่างมาก โดยบริษัทพบว่า Web Shells เกือบสองเท่าบนเซิร์ฟเวอร์ที่ได้รับการตรวจสอบ เมื่อเทียบกับปีก่อนหน้า บริษัท ระบุไว้ในการวิเคราะห์. ไม่มีข้อมูลล่าสุด
“Web Shells ช่วยให้ผู้โจมตีสามารถรันคำสั่งบนเซิร์ฟเวอร์เพื่อขโมยข้อมูล หรือใช้เซิร์ฟเวอร์เป็น [a] Launch Pad สำหรับกิจกรรมอื่นๆ เช่น การขโมยข้อมูลประจำตัว การเคลื่อนไหวด้านข้าง การปรับใช้เพย์โหลดเพิ่มเติม หรือกิจกรรมบนแป้นพิมพ์ ในขณะเดียวกันก็อนุญาตให้ผู้โจมตีสามารถ ยังคงอยู่ในองค์กรที่ได้รับผลกระทบ” Microsoft ระบุในการวิเคราะห์
ซ่อนตัวและไม่เปิดเผยตัวตน
เหตุผลหนึ่งที่ผู้โจมตีใช้ Web Shells ก็เนื่องมาจากความสามารถของพวกเขาที่จะอยู่ภายใต้เรดาร์ Web Shell ตรวจพบได้ยากด้วยเทคนิคการวิเคราะห์แบบคงที่ เนื่องจากไฟล์และโค้ดแก้ไขได้ง่ายมาก ยิ่งไปกว่านั้น การรับส่งข้อมูลของ Web Shell — เนื่องจากเป็นเพียง HTTP หรือ HTTPS — ผสมผสานเข้าด้วยกัน ทำให้ยากต่อการตรวจจับด้วยการวิเคราะห์การรับส่งข้อมูล Zavodchik จาก Akamai กล่าว
“พวกเขาสื่อสารกันบนพอร์ตเดียวกัน และเป็นเพียงอีกหน้าหนึ่งของเว็บไซต์” เขากล่าว “มันไม่เหมือนกับมัลแวร์แบบคลาสสิกที่จะเปิดการเชื่อมต่อกลับจากเซิร์ฟเวอร์ไปยังผู้โจมตี ผู้โจมตีเพียงแค่เรียกดูเว็บไซต์ ไม่มีการเชื่อมต่อที่เป็นอันตราย ดังนั้นจึงไม่มีการเชื่อมต่อที่ผิดปกติจากเซิร์ฟเวอร์ไปยังผู้โจมตี”
นอกจากนี้ เนื่องจากมี Web Shell ที่มีจำหน่ายทั่วไปจำนวนมาก ผู้โจมตีจึงสามารถใช้งานได้โดยไม่ต้องบอกกล่าวผู้ปกป้องเกี่ยวกับตัวตนของพวกเขา ตัวอย่างเช่น WSO-NG Web Shell มีอยู่ใน GitHub และ Kali Linux ก็เป็นโอเพ่นซอร์ส เป็นการกระจาย Linux ที่เน้นการจัดหาเครื่องมือที่ใช้งานง่ายสำหรับทีมสีแดงและการปฏิบัติการเชิงรุก และยังมี Web Shell ที่แตกต่างกัน 14 แบบ ทำให้ผู้ทดสอบการเจาะสามารถอัปโหลดและดาวน์โหลดไฟล์ ดำเนินการคำสั่ง ตลอดจนสร้างและสืบค้นฐานข้อมูลและไฟล์เก็บถาวร
“เมื่อผู้คุกคาม APT … เปลี่ยนจากการปลูกถ่ายไบนารีที่ปรับแต่งมาเป็นพิเศษไปยัง Web Shell ไม่ว่าจะเป็น Web Shell ของตัวเองหรือ Web Shell ทั่วไปบางส่วน ก็ไม่มีใครสามารถระบุแหล่งที่มาของปัจจัยเหล่านั้นให้กับกลุ่มเฉพาะได้” Zavodchik กล่าว
ปกป้องด้วยการเฝ้าระวังที่น่าสงสัย
การป้องกันที่ดีที่สุดคือการตรวจสอบปริมาณการใช้เว็บเพื่อหารูปแบบที่น่าสงสัย พารามิเตอร์ URL ที่ผิดปกติ รวมถึง URL และที่อยู่ IP ที่ไม่รู้จัก การตรวจสอบความสมบูรณ์ของเซิร์ฟเวอร์ถือเป็นกลยุทธ์การป้องกันที่สำคัญ Malcolm Heath นักวิจัยภัยคุกคามอาวุโสของ F5 Networks เขียนไว้ในโพสต์เมื่อเดือนมิถุนายนบนเว็บเชลล์
“การตรวจสอบเนื้อหาไดเร็กทอรีก็เป็นแนวทางที่ดีเช่นกัน และมีบางโปรแกรมที่สามารถตรวจจับการเปลี่ยนแปลงในไดเร็กทอรีที่ถูกตรวจสอบได้ทันทีและย้อนกลับการเปลี่ยนแปลงโดยอัตโนมัติ” บริษัท กล่าว “นอกจากนี้ เครื่องมือป้องกันบางตัวยังช่วยให้สามารถตรวจจับการสร้างกระบวนการที่ผิดปกติได้”
วิธีการอื่นๆ รวมถึงการมุ่งเน้นไปที่การตรวจจับการเข้าถึงครั้งแรกและการปรับใช้ Web Shell ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF) ซึ่งมีความสามารถในการดูกระแสการรับส่งข้อมูลก็เป็นมาตรการป้องกันที่แข็งแกร่งเช่นกัน
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :เป็น
- :ไม่
- 14
- 2020
- 2021
- 2023
- 7
- a
- ความสามารถ
- เกี่ยวกับเรา
- เข้า
- ตาม
- กิจกรรม
- อยากทำกิจกรรม
- นักแสดง
- นอกจากนี้
- เพิ่มเติม
- นอกจากนี้
- ที่อยู่
- ได้รับผล
- หลังจาก
- อนุญาต
- การอนุญาต
- ช่วยให้
- ด้วย
- อเมซอน
- Amazon Web Services
- an
- การวิเคราะห์
- และ
- อื่น
- APIs
- การใช้งาน
- การใช้งาน
- เข้าใกล้
- APT
- หอจดหมายเหตุ
- เป็น
- AS
- At
- โจมตี
- อัตโนมัติ
- ใช้ได้
- กลับ
- BE
- เพราะ
- กลายเป็น
- รับ
- ที่ดีที่สุด
- ผสม
- แต่
- by
- รณรงค์
- CAN
- การเปลี่ยนแปลง
- คลาสสิก
- เมฆ
- รหัส
- ร่วมกัน
- สื่อสาร
- บริษัท
- เมื่อเทียบกับ
- ที่ถูกบุกรุก
- ที่บรรจบกัน
- การเชื่อมต่อ
- การเชื่อมต่อ
- เนื้อหา
- ได้
- การสร้าง
- การสร้าง
- หนังสือรับรอง
- หนังสือรับรอง
- ข้อมูล
- ฐานข้อมูล
- Defenders
- การป้องกัน
- ปรับใช้
- นำไปใช้
- การใช้งาน
- ตรวจจับ
- การตรวจพบ
- นักพัฒนา
- ต่าง
- ผู้อำนวยการ
- ไดเรกทอรี
- การกระจาย
- สอง
- ดาวน์โหลด
- เป็นคุ้งเป็นแคว
- ปรับตัวลดลง
- E-commerce
- ก่อน
- ที่ง่ายที่สุด
- ง่าย
- ง่ายต่อการใช้งาน
- ทั้ง
- Enterprise
- ตัวอย่าง
- ดำเนินการ
- มีอยู่
- ผู้เชี่ยวชาญ
- การแสวงหาผลประโยชน์
- ใช้ประโยชน์
- การใช้ประโยชน์จาก
- ปัจจัย
- เนื้อไม่มีมัน
- ไฟล์
- ไฟร์วอลล์
- บริษัท
- กระแส
- มุ่งเน้น
- โดยมุ่งเน้น
- ดังต่อไปนี้
- สำหรับ
- พบ
- ราคาเริ่มต้นที่
- ได้รับ
- แก๊ง
- การรวบรวม
- GitHub
- ให้
- Go
- ดี
- บัญชีกลุ่ม
- กลุ่ม
- เจริญเติบโต
- มี
- ยาก
- มี
- he
- ที่ http
- HTTPS
- เอกลักษณ์
- ทันที
- in
- ประกอบด้วย
- ขึ้น
- ข้อมูล
- แรกเริ่ม
- ตัวอย่าง
- ความสมบูรณ์
- อินเตอร์เฟซ
- อินเทอร์เน็ต
- IP
- ที่อยู่ IP
- ปัญหา
- การออก
- IT
- ITS
- jpg
- มิถุนายน
- เพียงแค่
- คีย์
- ที่รู้จักกัน
- ภาษา
- ใหญ่
- เปิดตัว
- ถูกกฎหมาย
- กดไลก์
- ลินุกซ์
- เข้าสู่ระบบ
- ดู
- การทำ
- มัลแวร์
- การจัดการ
- การจัดการ
- หลาย
- มวล
- มาก
- สูงสุด
- อาจ..
- มาตรการ
- เมตาดาต้า
- วิธีการ
- ไมโครซอฟท์
- แก้ไข
- การตรวจสอบ
- การตรวจสอบ
- เดือน
- ข้อมูลเพิ่มเติม
- ยิ่งไปกว่านั้น
- ย้าย
- การเคลื่อนไหว
- เกือบทั้งหมด
- เครือข่าย
- เครือข่าย
- ถัดไป
- ไม่
- เด่น
- พฤศจิกายน
- of
- ปิด
- น่ารังเกียจ
- on
- ONE
- เปิด
- โอเพนซอร์ส
- การดำเนินการ
- or
- organizacja
- อื่นๆ
- ของตนเอง
- เบาะ
- หน้า
- พารามิเตอร์
- ทางเดิน
- รูปแบบ
- การเจาะ
- วิริยะ
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ยอดนิยม
- พอร์ต
- โพสต์
- โพสต์
- ที่มีศักยภาพ
- ก่อน
- กระบวนการ
- โปรแกรม
- ความคืบหน้า
- ให้
- การให้
- เรดาร์
- ransomware
- RE
- จริงๆ
- เหตุผล
- เมื่อเร็ว ๆ นี้
- เมื่อเร็ว ๆ นี้
- สีแดง
- ที่เกี่ยวข้อง
- การวิจัย
- นักวิจัย
- แหล่งข้อมูล
- ตามลำดับ
- ขวา
- ม้วน
- วิ่ง
- วิ่ง
- s
- เดียวกัน
- กล่าว
- พูดว่า
- การสแกน
- เห็น
- เห็น
- ระดับอาวุโส
- เซิร์ฟเวอร์
- เซิร์ฟเวอร์
- บริการ
- บริการ
- เปลือก
- เว็บไซต์
- So
- ซอฟต์แวร์
- ของแข็ง
- บาง
- บางสิ่งบางอย่าง
- ความซับซ้อน
- แหล่ง
- พิเศษ
- โดยเฉพาะ
- ระบุ
- คงที่
- เข้าพัก
- ชิงทรัพย์
- ขั้นตอน
- อย่างเช่น
- พื้นผิว
- พิรุธ
- ปรับปรุง
- นำ
- พูดคุย
- เป้า
- เป้าหมาย
- ทีม
- เทคนิค
- ทดสอบ
- ที่
- พื้นที่
- การโจรกรรม
- ของพวกเขา
- พวกเขา
- ที่นั่น
- พวกเขา
- นี้
- เหล่านั้น
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ตลอด
- ไปยัง
- ในวันนี้
- เครื่องมือ
- เครื่องมือ
- การจราจร
- โอน
- ชนิด
- ภายใต้
- ไม่ทราบ
- URL
- ใช้
- การตรวจสอบ
- ช่องโหว่
- ความอ่อนแอ
- คือ
- ทาง..
- เว็บ
- โปรแกรมประยุกต์บนเว็บ
- เว็บแอปพลิเคชัน
- เว็บเซิร์ฟเวอร์
- บริการเว็บ
- การเข้าชมเว็บไซต์
- Website
- เมื่อ
- ที่
- ในขณะที่
- จะ
- กับ
- ไม่มี
- เขียน
- ปี
- คุณ
- ลมทะเล