Відомо, що кіберзловмисники використовують різні методи для, щоб завжди мати доступ до вже скомпрометованих кінцевих точок. Ці методи гарантують, що зловмисникам не потрібно буде повторювати щоразу кроки для отримання доступу до системи, коли скомпрометовані вебсервери перезавантажуються, змінюють облікові дані або зникає зв’язок. Встановлення web shell на вебсервері є одним зі способів для досягнення такого постійного доступу.
Що таке web shell?
Web shell – це вебскрипти або програми, які надають зловмисникам необмежений доступ до вебсерверів. Зловмисники зазвичай використовують його для підтримки прихованого та постійного доступу до скомпрометованих вебсерверів, як-от IIS, Apache, NGINX і систем керування вмістом, таких як WordPress. Ці кіберзловмисники можуть закріпитися на вебсервері, використовуючи вразливі місця програм або неправильну конфігурацію системи за допомогою атак, таких як SQL (SQLi), міжсайтовий скриптинг (XSS), віддалене включення файлів (RFI) тощо.
Коли кіберзловмисники компрометують кінцеву точку, вони впроваджують web shell в каталог цільового вебсервера та запускають його через веббраузери. Завдяки цьому встановлюється постійний бекдор, щоб зловмисники могли виконувати дії й після експлойту через HTTP-запити. Наприклад, виконання команд, вилучення конфіденційної інформації, завантаження зловмисного програмного забезпечення та псування вебсайтів.
Більшість web shell атак дотримуються однакових концепцій у своєму дизайні та призначенні. Web shell, як правило, написані на мовах програмування, які підтримуються вебсерверами-жертвами. Наприклад, PHP, ASP, ASP.NET, Perl, Python, Ruby, Java та Unix.
Основні індикатори атаки:
- Нещодавно завантажені або змінені файли: зловмисники завантажують свої web shell в каталоги вебсервера або змінюють наявні файли в каталогах вебсервера, щоб використовувати їх як web shell. Файли з останніми часовими мітками, які не збігаються зі схваленими оновленнями на вебсервері, можуть свідчити про компрометацію.
- Незвичайні мережеві підключення: web shell можуть відкривати порти для створення додаткових web shell-ів, які дозволяють кіберзловмисникам отримати доступ до скомпрометованих вебсерверів. У результаті невідомий або незвичайний трафік TCP або UDP з вебсервера може вказувати на наявність web shell.
- Неправильні конфігурації та змінені заголовки: до запитів користувачів зазвичай додається інформація про HTTP-заголовки агента користувача та реферера. Кіберзловмисники можуть змінити файл конфігурації програми, щоб дозволити виконання команд у заголовках програми на скомпрометованих вебсерверах, щоб зберегти web shell під прикриттям.
- Методи обфускації: кіберзловмисники використовують методи кодування, стиснення та заміни, щоб приховати код і уникнути виявлення системами безпеки чи іншими зловмисниками. Наприклад, зловмисник може використовувати функції base64() і gzdeflate() PHP для обфускації команд шляхом кодування та стиснення їх у нечитабельні формати. Потім скористатися функцією eval() або assert(), щоб розібрати дані, декодовані за допомогою base64_decode() і розпаковані за допомогою gzinflate(). Файли з цими функціями, які вебадміністратори явно не додають, можуть свідчити про web shell атаку.
В новому відео розберемо, як Wazuh може допомогти при виявленні цієї атаки.
