Microsoft กังวลเกี่ยวกับมัลแวร์เว็บเชลล์ที่เพิ่มขึ้นอย่างต่อเนื่อง
Microsoft กังวลเกี่ยวกับการโจมตีของมัลแวร์เว็บเชลล์ที่มียอดเพิ่มขึ้นอย่างต่อเนื่อง
ขอบคุณภาพ: twenty20
เครื่องมือมัลแวร์ถูกค้นพบโดยเฉลี่ยกว่า 140,000 รายการ ทุกเดือน
นักวิจัยด้านความปลอดภัยของ Microsoft ได้เตือนว่าจำนวนเครื่องมือที่ใช้ในการโจมตีเว็บเชลล์ดูเหมือนจะเพิ่มขึ้น รวมไปถึงจำนวนการโจมตีเว็บเชลล์ก็มีความถี่สูงขึ้นอย่างต่อเนื่องเช่นกัน
“ทุกๆ เดือนตั้งแต่สิงหาคม ปี 2020 ถึงมกราคม ปี 2021 เราได้รับแจ้งเกี่ยวกับการเผชิญหน้ากับภัยคุกคามเหล่านี้บนเซิร์ฟเวอร์โดยเฉลี่ยถึง 140,000 ครั้ง ซึ่งเกือบถึงสองเท่าของค่าเฉลี่ยต่อเดือนที่ 77,000 รายการที่เราพบในปีที่แล้ว
นักวิจัยกล่าวว่าความนิยมที่เพิ่มขึ้นของเว็บเชลล์อาจเกิดจากความเรียบง่ายและมีประสิทธิภาพสำหรับผู้โจมตี โดยทั่วไปเว็บเชลล์เป็นโค้ดอันตรายขนาดเล็กที่เขียนด้วยภาษาโปรแกรมการพัฒนาเว็บทั่วไป (เช่น ASP, PHP, JSP) ที่ผู้โจมตีฝังไว้บนเว็บเซิร์ฟเวอร์เพื่อให้สามารถเข้าถึงจากระยะไกลและเรียกใช้โค้ดไปยังฟังก์ชันของเซิร์ฟเวอร์ได้
นักวิจัยของไมโครซอฟท์กล่าวว่า “เว็บเชลล์อนุญาตให้ผู้โจมตีรันคำสั่งบนเซิร์ฟเวอร์เพื่อขโมยข้อมูลหรือใช้เซิร์ฟเวอร์เป็นฐานเปิดใช้สำหรับกิจกรรมอื่นๆ เช่น การโจรกรรมข้อมูลประจำตัว, lateral movement, การปรับใช้เพย์โหลดเพิ่มเติม หรือกิจกรรมบนคีย์บอร์ดขณะที่ปล่อยให้ผู้โจมตียังคงอยู่ในสถานการณ์ที่ได้รับผลกระทบ”
Microsoft กล่าวว่าแฮกเกอร์กำลังติดตั้งเว็บเชลล์บนเซิร์ฟเวอร์โดยใช้ประโยชน์จากช่องว่างด้านความปลอดภัย เช่น ข้อบกพร่องของแอปพลิเคชันเว็บในเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ต โดยแฮกเกอร์จะค้นหาเซิร์ฟเวอร์เหล่านี้ผ่านทางเครื่องมือค้นหาที่ถูกต้องเช่น shodan.io
แฮกเกอร์มีการใช้เว็บเชลล์มากขึ้นเรื่อยๆ เนื่องจากสิ่งนี้ทำให้พวกมันสามารถเข้าไปอยู่ในเครือข่ายของเหยื่อได้
นักวิจัยกล่าวว่า “เว็บเชลล์รับประกันว่ามีแบ็คดอร์อยู่ในเครือข่ายที่ถูกบุกรุกเนื่องจากผู้โจมตีทิ้งร่องรอยที่เป็นอันตรายหลังจากสร้างรากฐานเบื้องต้นบนเซิร์ฟเวอร์ ซึ่งหากปล่อยไว้โดยไม่ถูกตรวจจับ เว็บเชลล์จะเป็นช่องทางให้ผู้โจมตีสามารถรวบรวมข้อมูลและสร้างรายได้จากเครือข่ายที่พวกเขาเข้าถึงได้ต่อไป” พวกเขากล่าวเสริมว่า การค้นหาและลบแบ็คดอร์ทั้งหมดเป็นส่วนสำคัญของการกู้คืนที่ประนีประนอมแล้ว
.
ตามที่นักวิจัยกล่าว มันเป็นความท้าทายที่สำคัญในการค้นพบเครื่องมือดังกล่าวในโครงสร้างขั้นพื้นฐาน แฮกเกอร์สามารถสร้างเว็บเชลล์โดยใช้ภาษาเว็บแอปพลิเคชันหลายภาษาได้ และปัญหาอีกประการหนึ่งในการตรวจจับคือการค้นพบเจตนาของเว็บภายนอกที่ดูเหมือนไม่มีอันตรายใดๆ
“สคริปต์ที่ดูเหมือนไม่เป็นอันตรายอาจเป็นอันตรายได้ขึ้นอยู่กับเจตนา แต่เมื่อผู้โจมตีสามารถอัปโหลดไฟล์อินพุตโดยพลการในเว็บไดเร็กทอรีได้ พวกเขาก็สามารถอัปโหลดเว็บเชลล์ที่มีคุณสมบัติครบถ้วนได้เช่นกัน ซึ่งจะช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดได้ตามอำเภอใจ และเว็บเชลล์เองนั้นก็สามารถทำได้ง่ายมาก" นักวิจัยกล่าว
ปัญหาสุดท้ายในการตรวจจับคือความสามารถของแฮกเกอร์ในการซ่อนเว็บเชลล์ในรูปแบบไฟล์ที่ไม่สามารถเรียกใช้งานได้ เช่น ไฟล์มีเดีย
“ผู้โจมตีสามารถซ่อนสคริปต์เว็บเชลล์ภายในภาพถ่ายและอัปโหลดไปยังเว็บเซิร์ฟเวอร์ และเมื่อไฟล์นี้ถูกโหลดและนำมาวิเคราะห์บนเวิร์กสเตชันภาพถ่ายจะไม่เป็นอันตรายใดๆ แต่เมื่อเว็บเบราว์เซอร์ขอไฟล์นี้จากเซิร์ฟเวอร์ โค้ดที่เป็นอันตรายจะถูกดำเนินการจากทางฝั่งเซิร์ฟเวอร์ทันที” นักวิจัยกล่าว
Microsoft ได้ให้คำแนะนำแก่องค์กรต่างๆ เกี่ยวกับวิธีการรักษาความปลอดภัยระบบจากการโจมตีเว็บเชลล์ เช่น การระบุและแก้ไขช่องโหว่ หรือการกำหนดค่าที่ไม่ถูกต้องในเว็บแอปพลิเคชันและเว็บเซิร์ฟเวอร์ ตลอดจนการใช้หรือการแบ่งส่วนเครือข่ายภายนอกอย่างเหมาะสม เพื่อให้เว็บเซิร์ฟเวอร์ถูกบุกรุกไม่ได้ และนำไปสู่การประนีประนอมของเครือข่ายองค์กร
ที่มา: https://bit.ly/3wYYpyY
