Фото: Microsoft
Microsoft заявляет, что количество вредоносных веб-оболочек, установленных на веб-серверах, почти удвоилось с момента последнего подсчета в августе 2020 года.
Вчера в блоге Редмонд сказала, что почти узнала 140 000 веб-оболочек в месяц В период с августа 2020 года по январь 2021 года, по сравнению со средним показателем 77000, который я сообщил в прошлом году.
Их число увеличилось в результате изменения взглядов хакеров на веб-оболочки. Ранее рассматривавшиеся как инструмент для детей-скрипачей, порочащих веб-сайты, и инструмент для операторов DDoS-ботов, веб-оболочки теперь являются частью арсенала программ-вымогателей и хакеров по всей стране и являются важными инструментами, используемыми в сложных хакерских операциях.
Две из причин, по которым эти веб-сайты так популярны, — это их универсальность и доступ к взломанным серверам.
Веб-оболочки, которые представляют собой не что иное, как простые сценарии, могут быть написаны на любом языке программирования, который работает на веб-сервере, например PHP, ASP, JSP или JS, и могут быть легко скрыты в исходном коде веб-сайта. Это делает их обнаружение сложным процессом, который часто требует ручного анализа с учетом человеческого фактора.
Кроме того, веб-оболочки предоставляют хакерам простой способ выполнять команды на взломанном сервере через графический интерфейс или интерфейс командной строки, предоставляя злоумышленникам простой способ эскалации атак.
Веб-оболочки более распространены, чем больше серверов размещается в Интернете.
По мере того, как корпоративное ИТ-пространство перемещается в сторону гибридных облачных сред, количество компаний, использующих веб-серверы, за последние несколько лет увеличилось, и во многих случаях общедоступные серверы часто имеют прямые подключения к внутренним сетям.
Как показывает статистика Microsoft, злоумышленники, похоже, обнаружили это изменение в структуре корпоративных ИТ-сетей и активизировали свои атаки на общедоступные системы.
В настоящее время веб-оболочки играют важную роль в их атаках, предоставляя возможность контролировать взломанный сервер и затем организовывать концентратор для интрасети цели.
Именно об этих типах атак и предупреждало Агентство национальной безопасности США в апреле 2020 года, когда оно опубликовало список из 25 уязвимостей, часто используемых для установки веб-оболочек.
Отчет NSA не только предостерегает от использования веб-шеллов в общедоступных системах, но также предостерегает от их использования в интрасетях, где они используются в качестве прокси для перехода в непубличные системы.
Microsoft призывает компании изменить приоритеты в подходах к работе с веб-оболочками, которые сегодня постепенно становятся одной из самых серьезных угроз безопасности. В качестве способов обеспечения безопасности сети производитель ОС рекомендует несколько основных действий:
- Патчить системы общедоступного интерфейса, поскольку большинство веб-оболочек устанавливаются после того, как злоумышленники используют незащищенные уязвимости.
- Распространите защиту от вирусов на веб-серверы, а не только на рабочие станции сотрудников.
- Сегментация сети для уменьшения повреждения затронутого сервера для небольшой группы систем, а не для всей сети.
- Частый аудит и просмотр журналов с веб-серверов, особенно для систем, ориентированных на аудиторию, которые более уязвимы для сканирования и атак.
- Соблюдайте надлежащую учетную гигиену. Ограничьте использование учетных записей с правами локального администратора или администратора домена.
- Проверьте окружающий брандмауэр и прокси-сервер, чтобы ограничить ненужный доступ к службам, включая доступ к службам через нестандартные порты.