Im 21. Jahrhundert experimentieren und ändern Cyberkriminelle jeden Tag ihre Taktik, um Sicherheitsprodukte und Forscher zu täuschen. Sie experimentieren, indem sie neuartige Techniken und / oder Werkzeuge implementieren, um ihre Cyberangriffe zu tarnen, die Sicherheit zu gefährden oder die Fernsteuerung nach dem Eindringen in Netzwerke und Systeme durchzuführen.Web-Shells - insbesondere wenn sie böswillig verwendet werden - helfen Angreifern, die dritte Aufgabe zu erledigen.
Aber was ist ein Web-Shell-Angriff?
Eine Web-Shell ist ein Code oder ein Skript, das auf einem Webserver ausgeführt wird, um Webadministratoren den Remotezugriff zu ermöglichen. Obwohl sie hauptsächlich von Webadministratoren für legitime Verwaltungsaufgaben verwendet wird, ist sie auch bei böswilligen Akteuren beliebt, um die Fernsteuerung zu erlangen und aufrechtzuerhaltendie mit dem Internet verbundenen Webserver.
Sobald eine Web-Shell auf einem Webserver platziert und eine Verbindung zu ihren Angreifern hergestellt wurde, erweist sich die Web-Shell als leistungsstarkes Werkzeug in den Händen von Cyberkriminellen. Da sie die Fernsteuerung unterstützt, können die Angreifer auf ihre böswilligen Ziele wie zals Datenexfiltration, Dienstunterbrechung und mehr.
Ein Web-Shell-Angriff ist gefährlich weil es schwierig ist, eine schädliche Web-Shell zu erkennen, da sie auch für autorisierte Verwaltungsaufgaben verwendet werden kann. Aus diesem Grund übersehen Sicherheitsprodukte möglicherweise eine schädliche Web-Shell.
Darüber hinaus kann eine einfache Web-Shell abhängig von den Befehlen der Angreifer erheblichen Schaden anrichten, während sie nur eine minimale Präsenz beibehält und ihre negativen Auswirkungen in den falschen Händen zeigt.
Beispiel eines Web-Shell-Angriffs
Zunächst sucht ein Angreifer nach Schwachstellen auf dem Zielserver - genau wie im ersten Schritt eines Cyberangriffs. Zweitens nutzt der Angreifer eine potenzielle Schwachstelle Remote File Inclusion, SQL Injection usw., um eine zu erstellen oder zu installierenCode oder ein Skript auf dem Webserver.
SIEHE AUCH: GRÖSSTE CYBERSECURITY-GEFAHREN, DIE ZUR ZEIT IM INTERNET GESTELLT SIND
Schließlich sendet oder sendet der Angreifer Anforderungen mit den auf dem Zielwebserver auszuführenden Befehlen remote an die installierte Web-Shell und sie werden mit lokalen Berechtigungen auf dem Webserver ausgeführt, als ob der Angreifer direkten Zugriff auf den gefährdeten Server hätte.
Zum Beispiel findet ein Angreifer a SQL Injection-Sicherheitsanfälligkeit ist auf einem Webserver mit dem Namen "xyz.com" vorhanden. Anschließend nutzt der Angreifer diese Sicherheitsanfälligkeit, um eine Web-Shell mit dem Namen "shell.php" auf dieser Website zu installieren. Schließlich sendet der Angreifer Remote-Befehle an "shell".php ”, und es werden sie ausgeführt, wenn diese Befehle von einem autorisierten Webadministrator ausgeführt werden, wodurch dem Angreifer schädlicher Zugriff gewährt wird.
Schutz vor Web-Shell-Angriffen
Web-Shell-Angriffe gibt es in verschiedenen Varianten für verschiedene Sprachen oder Plattformen, was es für Intrusion Detection Systems IDS und Intrusion Prevention Systems IPS schwierig macht, sie zu erkennen.
Obwohl die Verhaltensanalyse zusammen mit der Signaturanalyse beim Erkennen von Web-Shells nützlicher ist, sind einige Web-Shells so ausgefeilt, dass sogar Verhaltensanalyse kann sie normalerweise nicht erkennen. Es gibt jedoch Möglichkeiten, sie zu erkennen und Server vor Web-Shell-Angriffen zu schützen.
Der einfachste Weg, Web-Shells zu ermitteln, besteht darin, nach einer zunehmenden Nutzung der Ressourcen auf dem Webserver zu suchen. Sie können dann erkannt werden, indem Sie Web-App-Dateien mit den Release-Versionsdateien vergleichen und nach Unstimmigkeiten suchenkann durch Überwachen des Netzwerk- und Webverkehrs auf unerwartete Fehler oder Anomalien erkannt werden.
Auch Endpoint Detection and Response EDR mit Protokollierungstools wie Auditd oder Microsoft Sysmon kann zum Erkennen unerwarteter Systemaufrufe oder zum Verarbeiten von Abstammungsanomalien zum Erkennen von Web-Shell-Angriffen verwendet werden.
Da die Web-Shells als Post-Exploitation-Tools für die Angreifer fungieren, besteht die erste und wichtigste Verhinderung von Web-Shells darin, deren Erstellung und / oder Installation auf den Servern nicht zuzulassen. Ein leistungsfähiger Schwachstellenscanner und die Web Application Firewall WAF helfen dabeium potenzielle Schwachstellen wie die Ausführung von willkürlichem Code und das Hochladen von Dateien zu erkennen und zu beheben.
Mit solchen Sicherheitstools können Tausende von Sicherheitslücken untersucht und potenzielle Einstiegspunkte für die Angreifer zum Hochladen der Web-Shells gefunden werden. Außerdem hilft WAF beim Erkennen und Filtern bösartiger Netzwerkpakete, wodurch das Risiko von Web-Shell-Angriffen minimiert wird.
Ein moderner Ansatz beinhaltet konsolidierte Sicherheit durch erweiterte Erkennung und Reaktion XDR .
Hier werden die Funktionen von Antivirus, EDR, Analyse des Benutzerverhaltens, Netzwerkanalyse, Reaktion auf Vorfälle und Ransomware-Schutz kombiniert. Eine XDR-Lösung umfasst eine vollautomatisierte Sicherheitsplattform, die alle Workflows im gesamten Cybersicherheitslebenszyklus abdeckt und proaktive Sicherheitsüberwachung und Vorfälle umfasstReaktionen spielen eine große Rolle bei der Gewährleistung der Integrität von Systemen. Mit einem ganzheitlichen Sicherheitsansatz können Unternehmen vollständige Transparenz und die Fähigkeit erwarten, auftretende Bedrohungen zu erkennen und zu stoppen. Dies kann entweder lokal oder cloudbasiert erfolgenAnsatz.
Die US National Security Agency und die Australian Signals Directorate empfohlen haben Organisationen, die regelmäßig Anwendungen patchen und / oder aktualisieren und die Berechtigungen für Apps und Benutzer auf den Servern einschränken.
"Insbesondere sollten Webanwendungen nicht berechtigt sein, direkt in ein über das Internet zugängliches Verzeichnis zu schreiben oder über das Internet zugänglichen Code zu ändern. Angreifer können keine Web-Shell in eine anfällige Anwendung hochladen, wenn der Webserver den Zugriff auf das Web blockiert.zugängliches Verzeichnis ", berichteten sie in ihre gemeinsame Forschung .
Es müssen auch Systeme zur Überwachung der Dateiintegrität implementiert werden, um Dateiänderungen in über das Internet zugänglichen Verzeichnissen zu erkennen, zu alarmieren und / oder zu blockieren. Darüber hinaus sollten Unternehmen Intrusion Detection Systems IDS und Intrusion Prevention Systems IPS zusammen mit WAF implementieren und verbessern. Netzwerk Sicherheit und Trennung.
Wenn eine Web-Shell entdeckt wird, muss eine gründliche Untersuchung durchgeführt werden, um die Reichweite der Angreifer in den gefährdeten Netzwerken zu ermitteln. Netzwerkfluss- und Paketerfassungsdaten können bei der Bestimmung der Reichweite und der potenziellen Netzwerkziele der Web-Shell hilfreich sein.
Und schließlich sollte die vollständige Installation der Web-Shell bereinigt werden, da die Angreifer sonst möglicherweise wieder Zugriff erhalten.