Różności i nowinki technologia

Microsoft obserwuje duży wzrost wykorzystania powłoki internetowej

Microsoft obserwuje duży wzrost wykorzystania powłoki internetowej

Getty Images

Pracownicy ochrony w firmie Microsoft zauważają duży wzrost wykorzystania powłok internetowych, lekkich programów, które hakerzy instalują, aby mogli dalej zagłębiać się w zaatakowanych witrynach internetowych.

Średnia liczba powłok internetowych zainstalowanych od sierpnia 2020 r. Do stycznia tego roku wyniosła 144 000, czyli prawie dwa razy więcej niż w tych samych miesiącach w 2019 i 2020 r. Skok oznacza przyspieszenie wzrostu, które ci sami badacze Microsoftu zaobserwowali w zeszłym roku.

Microsoft

Szwajcarski scyzoryk dla hakerów

Wzrost jest oznaką tego, jak przydatne i trudne do wykrycia mogą być te proste programy. Powłoka internetowa to interfejs, który umożliwia hakerom wykonywanie standardowych poleceń na serwerach WWW po ich przejęciu. Powłoki internetowe są tworzone przy użyciu języków programowania opartych na sieci Web, takich jak PHP, JSP lub ASP. Interfejsy poleceń działają podobnie jak przeglądarki.

Po pomyślnym zainstalowaniu powłoki internetowe umożliwiają zdalnym hakerom wykonywanie większości tych samych czynności, które mogą robić uprawnieni administratorzy. Hakerzy mogą ich używać do uruchamiania poleceń, które wykradają dane, wykonują złośliwy kod i dostarczają informacje o systemie, które umożliwiają późniejsze przejście do zagrożonej sieci. Programy mogą również zapewniać trwałe środki dostępu do tylnych drzwi, które pomimo ich skuteczności pozostają zaskakująco trudne do wykrycia.

W opublikowanym w czwartek wpisie na blogu członkowie zespołu Microsoft ds. Wykrywania i reagowania oraz zespołu Microsoft 365 Defender Research napisali:

Po zainstalowaniu na serwerze powłoki internetowe służą jako jeden z najskuteczniejszych środków trwałości w przedsiębiorstwie. Często widzimy przypadki, w których powłoki internetowe są używane wyłącznie jako mechanizm trwałości. Powłoki internetowe gwarantują istnienie backdoora w zaatakowanej sieci, ponieważ osoba atakująca pozostawia złośliwy implant po ustanowieniu początkowej pozycji na serwerze. Jeśli pozostaną niewykryte, powłoki internetowe umożliwiają atakującym dalsze gromadzenie danych z sieci, do których mają dostęp, i zarabianie na nich.

Odzyskiwanie po kompromisie nie może być skuteczne i trwałe bez zlokalizowania i usunięcia mechanizmów trwałości osoby atakującej. I chociaż odbudowanie pojedynczego, zagrożonego systemu jest świetnym rozwiązaniem, dla wielu osób przywrócenie istniejących zasobów jest jedyną możliwą opcją. Tak więc znalezienie i usunięcie wszystkich backdoorów jest krytycznym aspektem odzyskiwania kompromisów.

Studium przypadku

Na początku lipca ubiegłego roku platforma hakerska Metasploit dodała moduł wykorzystujący krytyczną lukę w zaawansowanym kontrolerze dostarczania Big-IP, urządzeniu stworzonym przez F5, które jest zwykle umieszczane między zaporą graniczną a aplikacją internetową do obsługi równoważenia obciążenia i innych zadań. Dzień później badacze Microsoftu zaczęli widzieć hakerów wykorzystujących exploita do instalowania powłok sieciowych na podatnych na ataki serwerach.

Początkowo hakerzy używali powłok internetowych do instalowania złośliwego oprogramowania, które wykorzystywało moc obliczeniową serwerów do wydobywania kryptowaluty. Niecały tydzień później naukowcy zauważyli, że hakerzy wykorzystują lukę Big-IP do instalowania powłok internetowych do znacznie szerszego zakresu zastosowań na serwerach należących zarówno do rządu USA, jak i do sektora prywatnego.

W innym przypadku z zeszłego roku Microsoft powiedział, że przeprowadził reakcję na incydent po tym, jak organizacja z sektora publicznego odkryła, że ​​hakerzy zainstalowali powłokę sieci Web na jednym ze swoich serwerów internetowych. Hakerzy „umieścili powłokę sieci Web w wielu folderach na serwerze sieci Web, co w konsekwencji doprowadziło do naruszenia bezpieczeństwa kont usług i kont administratora domeny” – napisali badacze Microsoft. „To pozwoliło napastnikom na przeprowadzenie zwiadu przy użyciu net.exe, przeskanuj w poszukiwaniu dodatkowych systemów docelowych przy użyciu nbtstat.exei ostatecznie przenieś się na bok za pomocą PsExec ”.

Hakerzy zainstalowali backdoora na serwerze Outlooka, który przechwytywał wszystkie przychodzące i wychodzące wiadomości e-mail, przeprowadzał dodatkowy rekonesans i pobierał inne złośliwe ładunki. Między innymi włamanie umożliwiło hakerom wysyłanie specjalnych wiadomości e-mail, które backdoor zinterpretował jako polecenia.

Igła w stogu siana

Ponieważ używają standardowych języków programowania WWW, powłoki WWW mogą być trudne do wykrycia. Co więcej, powłoki internetowe mają wiele sposobów wykonywania poleceń. Atakujący mogą również ukrywać polecenia w ciągach i parametrach agenta użytkownika, które są przekazywane podczas wymiany między atakującym a zaatakowaną witryną. Jakby tego było mało, powłoki internetowe można przechowywać w plikach multimedialnych lub w innych niewykonywalnych formatach plików.

„Kiedy ten plik jest ładowany i analizowany na stacji roboczej, zdjęcie jest nieszkodliwe” – napisali badacze Microsoft. „Ale kiedy przeglądarka internetowa prosi serwer o ten plik, złośliwy kod wykonuje po stronie serwera. Te wyzwania związane z wykrywaniem powłok internetowych przyczyniają się do ich rosnącej popularności jako narzędzia ataku ”.

Czwartkowy post zawiera listę różnych kroków, które administratorzy mogą podjąć, aby zapobiec przedostawaniu się powłok internetowych na serwer. Zawierają:

  • Identyfikuj i usuwaj luki w zabezpieczeniach lub błędne konfiguracje w aplikacjach internetowych i serwerach internetowych. Użyj narzędzia do zarządzania zagrożeniami i lukami w zabezpieczeniach, aby wykryć i naprawić te słabości. Wdrażaj najnowsze aktualizacje zabezpieczeń, gdy tylko staną się dostępne.
  • Zaimplementuj odpowiednią segmentację sieci obwodowej, tak aby zagrożony serwer WWW nie doprowadził do naruszenia bezpieczeństwa sieci firmowej.
  • Włącz ochronę antywirusową na serwerach internetowych. Włącz ochronę dostarczaną w chmurze, aby uzyskać najnowsze zabezpieczenia przed nowymi i pojawiającymi się zagrożeniami. Użytkownicy powinni mieć możliwość przesyłania plików tylko w katalogach, które mogą być skanowane przez program antywirusowy i skonfigurowane tak, aby nie zezwalały na wykonywanie skryptów po stronie serwera lub wykonywanie ich.
  • Często kontroluj i przeglądaj dzienniki z serwerów WWW. Uważaj na wszystkie systemy, które udostępniasz bezpośrednio w Internecie.
  • Wykorzystaj zaporę Windows Defender Firewall, urządzenia zapobiegające włamaniom i zaporę sieciową, aby w miarę możliwości zapobiegać komunikacji serwera poleceń i kontroli między punktami końcowymi, ograniczając ruchy boczne, a także inne działania związane z atakami.
  • Sprawdź zaporę graniczną i serwer proxy, aby ograniczyć niepotrzebny dostęp do usług, w tym dostęp do usług przez niestandardowe porty.
  • Praktykuj dobrą higienę poświadczeń. Ogranicz używanie kont z uprawnieniami na poziomie administratora lokalnego lub domeny.

Agencja Bezpieczeństwa Narodowego opublikowała tutaj narzędzia, które pomagają administratorom wykrywać i usuwać powłoki internetowe w ich sieciach.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook