Експерти кажуть, що веб-оболонки, поширений тип інструменту після експлуатації, який забезпечує простий у використанні інтерфейс, через який можна видавати команди зламаному серверу, стають дедалі популярнішими, оскільки зловмисники стають більш обізнаними про хмару.
Нещодавно було помічено, що веб-оболонка, відома як WSO-NG, маскує свій сайт входу під сторінку-заставку 404 «Сторінку не знайдено», збирає інформацію про потенційні цілі за допомогою законних служб, таких як VirusTotal, і сканує метадані, пов’язані з веб-службами Amazon як шлях. до викрадення облікових даних розробників, заявила компанія з управління Інтернетом Akamai аналіз, опублікований 22 листопада. Інші веб-оболонки були розгорнуті групами програм-вимагачів Cl0p і C3RB3R, останні використовували сервери, на яких запущено корпоративний сервер Atlassian Confluence в кампанія масової експлуатації раніше цього місяця.
Веб-оболонки стали простим у використанні способом видачі команд скомпрометованим серверам, оскільки зловмисники все частіше атакують хмарні ресурси, говорить Максим Заводчик, директор з дослідження загроз в Akamai.
«Сьогодні веб-додатки, а не лише API, можуть чинити атаки дуже великими», — каже він. «Отже, коли ви використовуєте веб-вразливість, найпростішим наступним кроком буде розгортання веб-платформи — імплантату, чогось, що не є двійковим, але говорить тією ж мовою, що й веб-сервер».
Akamai зосередився на WSO-NG після його використання в масштабній кампанії націлені на магазини електронної комерції Magento 2, але інші групи використовують інші веб-оболонки. Наприклад, група програм-вимагачів Cl0p відмовилася від веб-оболонок DEWMODE та LEMURLOOT відповідно після використання вразливостей у Kiteworks Accellion FTA у 2020 році та службі керованої передачі файлів MOVEit від Progress Software у травні, згідно з даними. аналіз за червень 2023 року, проведений мережевою компанією F5.
У 2021 році Microsoft зазначила, що використання веб-оболонок різко зросло, і компанія помітила майже вдвічі більше випадків зустрічей веб-оболонок на контрольованих серверах порівняно з попереднім роком. зазначено в аналізі. Більш свіжі дані недоступні.
«Веб-оболонки дозволяють зловмисникам запускати команди на серверах для викрадення даних або використовувати сервер як [] стартовий майданчик для інших дій, таких як викрадення облікових даних, бічний рух, розгортання додаткових корисних навантажень або практична діяльність з клавіатури, дозволяючи зловмисникам зберігаються в постраждалій організації», — заявила Microsoft у своєму аналізі.
Прихований і анонімний
Однією з причин, чому зловмисники скористалися веб-оболонками, є їх здатність залишатися поза увагою радарів. Веб-оболонки важко виявити за допомогою методів статичного аналізу, оскільки файли та код так легко змінити. Більше того, трафік веб-оболонки — оскільки це просто HTTP або HTTPS — змішується, що ускладнює його виявлення за допомогою аналізу трафіку, каже Заводчик з Akamai.
«Вони спілкуються через ті самі порти, і це лише інша сторінка веб-сайту», — каже він. «Це не схоже на класичне зловмисне програмне забезпечення, яке повертає з’єднання від сервера до зловмисника. Зловмисник просто переглядає веб-сайт. Немає шкідливих з’єднань, тому жодні аномальні з’єднання не йдуть від сервера до зловмисника».
Крім того, оскільки існує дуже багато готових веб-оболонок, зловмисники можуть використовувати їх, не повідомляючи захисникам про свою особу. Веб-оболонка WSO-NG, наприклад, доступна на GitHub. І Kali Linux є відкритим кодом; це дистрибутив Linux, зосереджений на забезпеченні простих у використанні інструментів для червоних команд і наступальних операцій, і він надає 14 різних веб-оболонок, що дає можливість тестувальникам проникнення завантажувати та завантажувати файли, виконувати команди, а також створювати й запитувати бази даних і архіви.
«Коли суб’єкти загрози APT … переходять від спеціально адаптованих бінарних імплантатів до веб-оболонок — чи то власних веб-оболонок, чи якихось загальних веб-оболонок — ніхто не може приписати ці фактори окремим групам», — говорить Заводчик.
Захищайтеся з підозрілою пильністю
Найкращим захистом є моніторинг веб-трафіку на наявність підозрілих шаблонів, аномальних параметрів URL-адрес, невідомих URL-адрес і IP-адрес. Перевірка цілісності серверів також є ключовою захисною тактикою, написав Малкольм Хіт, старший дослідник загроз у F5 Networks, у червневому дописі про веб-оболонки.
«Моніторинг вмісту каталогів також є хорошим підходом, і існують деякі програми, які можуть миттєво виявляти зміни в контрольованих каталогах і автоматично відкочувати зміни», — заявила компанія. «Крім того, деякі захисні інструменти дозволяють виявити створення аномальних процесів».
Інші методи включають зосередження на виявленні початкового доступу та розгортання веб-оболонки. Брандмауери веб-додатків (WAF) з їх здатністю переглядати потоки трафіку також є надійним засобом захисту.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cloud/web-shells-sophistication-stealth-persistence
- :є
- : ні
- 14
- 2020
- 2021
- 2023
- 7
- a
- здатність
- МЕНЮ
- доступ
- За
- діяльності
- діяльність
- актори
- доповнення
- Додатковий
- Додатково
- адреси
- постраждалих
- після
- дозволяти
- Дозволити
- дозволяє
- Також
- Amazon
- Amazon Web Services
- an
- аналіз
- та
- Інший
- Інтерфейси
- додаток
- застосування
- підхід
- APT
- архів
- ЕСТЬ
- AS
- At
- атака
- автоматично
- доступний
- назад
- BE
- оскільки
- ставати
- було
- КРАЩЕ
- суміші
- але
- by
- Кампанія
- CAN
- Зміни
- classic
- хмара
- код
- загальний
- спілкуватися
- компанія
- порівняний
- Компрометація
- злиття
- зв'язку
- Зв'язки
- зміст
- може
- створення
- створення
- ІНТЕРЕНЦІЙНИЙ
- Повноваження
- дані
- базами даних
- Захисники
- оборонний
- розгортання
- розгорнути
- розгортання
- виявляти
- Виявлення
- розробників
- різний
- Директор
- каталоги
- розподіл
- подвійний
- скачати
- різко
- впав
- e-commerce
- Раніше
- Найпростіший
- легко
- легкий у використанні
- або
- підприємство
- приклад
- виконувати
- існувати
- experts
- експлуатація
- експлуатований
- експлуатація
- фактори
- філе
- Файли
- міжмережеві екрани
- Фірма
- Потоки
- увагу
- фокусування
- після
- для
- знайдений
- від
- Отримувати
- Банди
- збір
- GitHub
- дає
- Go
- добре
- Group
- Групи
- вирощений
- було
- Жорсткий
- Мати
- he
- HTTP
- HTTPS
- Особистість
- негайно
- in
- включати
- все більше і більше
- інформація
- початковий
- екземпляр
- цілісність
- інтерфейс
- інтернет
- IP
- IP-адреси
- питання
- видачі
- IT
- ЙОГО
- JPG
- червень
- просто
- ключ
- відомий
- мова
- великий
- запуск
- законний
- як
- Linux
- Логін
- подивитися
- Робить
- шкідливих програм
- вдалося
- управління
- багато
- Маса
- масивний
- Сентенція
- Може..
- заходи
- метадані
- методика
- Microsoft
- змінювати
- контрольований
- моніторинг
- місяць
- більше
- Більше того
- рухатися
- руху
- майже
- мережа
- мереж
- наступний
- немає
- зазначив,
- листопад
- of
- від
- наступ
- on
- ONE
- відкрити
- з відкритим вихідним кодом
- операції
- or
- організація
- Інше
- власний
- майданчик
- сторінка
- параметри
- шлях
- моделі
- проникнення
- наполегливість
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- популярний
- Порти
- пошта
- розміщені
- потенціал
- попередній
- процес
- програми
- прогрес
- забезпечує
- забезпечення
- радар
- вимагачів
- RE
- насправді
- причина
- останній
- нещодавно
- червоний
- пов'язаний
- дослідження
- дослідник
- ресурси
- відповідно
- право
- Котити
- прогін
- біг
- s
- то ж
- say
- говорить
- сканування
- бачачи
- бачив
- старший
- сервер
- Сервери
- обслуговування
- Послуги
- Склад
- сайт
- So
- Софтвер
- solid
- деякі
- що в сім'ї щось
- витонченість
- Source
- спеціально
- конкретний
- заявив,
- статичний
- залишатися
- Хитрість
- Крок
- такі
- поверхню
- підозрілі
- з урахуванням
- прийняті
- Переговори
- Мета
- цілі
- команди
- методи
- тестерів
- Що
- Команда
- крадіжка
- їх
- Їх
- Там.
- вони
- це
- ті
- загроза
- актори загроз
- через
- до
- сьогодні
- інструмент
- інструменти
- трафік
- переклад
- тип
- при
- невідомий
- URL
- використання
- перевірка
- Уразливості
- вразливість
- було
- шлях..
- Web
- Веб-додаток
- веб-додатки
- Веб-сервер
- веб-сервіси
- Веб-трафік
- веб-сайт
- коли
- який
- в той час як
- волі
- з
- без
- пише
- рік
- Ти
- зефірнет