Web shell nguy hiểm như thế nào?

[nktung]

Web shell là gì?​

Web shell là một công cụ mà những kẻ xấu có thể sử dụng để tương tác và duy trì quyền truy cập vào hệ thống sau khi đã xâm nhập. Nó có dạng một web script (một đoạn mã kịch bản) được tải lên hệ thống có lỗ hỏng. Sau đó, đoạn mã này nó có thể được sử dụng để tương tác với hệ điều hành.

Sự phức tạp của các hệ thống hiện đại, đặc biệt là các trang web có thể bao gồm phần mềm hoặc thư viện của bên thứ ba, đòi hỏi cần tạo nhiều kết nối ra ngoài. Điều này vô hình chung khiến cho việc phân biệt đâu là kết nối tới thư viện, đâu là kết nối của web shell trở nên khó khăn hơn rất nhiều, và hậu quả là các hệ thống phát hiện xâm nhập có thể bỏ sót hành vi của web shell.
Sau khi có quyền truy cập, các web shell độc hại có thể tận dụng các kỹ thuật khai thác hoặc để tiến hành các cuộc tấn công tiếp theo.

(Ảnh: Invicti)​

Vì sao web shell thường được sử dụng trong các cuộc tấn công?​

Kẻ tấn công sẽ tìm kiếm lỗ hổng trong hệ thống để tìm nơi tốt nhất để đặt một/nhiều web shell. Những lỗ hổng đó có thể ở trong hệ thống quản lý nội dung trang web hoặc máy chủ web chưa được vá lỗi.

Mục đích của việc này là thiết lập một chỗ đứng để có quyền truy cập liên tục vào hệ thống (backdoor). Điều này tương tự việc bạn đã xây dựng một cánh cửa bí mật vào một ngôi nhà, mà không ai khác biết – bạn có chìa khóa, vì vậy bạn có thể trở lại bất cứ khi nào bạn muốn.

Kẻ gian sau đó sẽ thực hiện một số hành vi:

• Thực thi mã từ xa
• Xâm nhập vào các hệ thống khác
• Tải và cài thêm các mã độc khác.

China Chopper​

China Chopper là một web shell có kích thước khoảng 4 kilobytes, được phát hiện lần đầu vào năm 2012. Web shell này thường được sử dụng để từ xa kiểm soát các máy chủ web và có 2 phần: client interface (một tệp thực thi) và một tệp tin nằm trên máy chủ web bị xâm nhập.

China Chopper có nhiều lệnh và tính năng điều khiển như tùy chọn tấn công mật khẩu bằng vét cạn, mã hóa mã lệnh, quản lý tệp và cơ sở dữ liệu. China Chopper đã được sử dụng trong các cuộc tấn công vào 8 nhà cung cấp dịch vụ web hosting ở Úc, do các nạn nhân sử dụng hệ điều hành không còn được hỗ trợ kỹ thuật (Windows Server 2008). Những kẻ tấn công đã kết nối các máy chủ web này với một mạng khai thác tiền ảo Monero.

Vào năm 2021, một phiên bản của web shell được lập trình bằng JScript đã được sử dụng bởi nhóm APT Hafnium để khai thác bốn lỗ hổng zero-day trong Microsoft Exchange Server, trong vụ việc xâm nhập dữ liệu Microsoft Exchange Server cùng năm đó

Làm thế nào để phát hiện web shell?​

Một tập lệnh web shell thường sẽ để lại dấu vết tại hiện trường. Hệ thống ngăn chặn xâm nhập như Snort có thể giúp phát hiện có web shell nằm vùng để tạo backdoor hay không? Một số sản phẩm khác như Cisco Secure Network Analytics có thể giúp phát hiện các kết nối giả mạo, hoặc Cisco Umbrella chặn các kết nối độc hại ở cấp độ DNS. Ngoài ra các công ty/tổ chức nên triển khai các công cụ phát hiện và ngăn chặn web shell trên các điểm truy cập đầu cuối.

Phòng chống​

Sự gia tăng trong các hoạt động liên quan đến web shell đòi hỏi cần thiết tăng cường nhận thức để ngăn chặn web shell. Hãng bảo mật Cisco cung cấp các gợi ý sau:

• Thường xuyên cập nhật và vá tất cả phần mềm và hệ điều hành để xác định và khắc phục lỗ hổng hoặc cấu hình sai sót trong các ứng dụng web và máy chủ web.
• Ngoài việc vá lỗi, thực hiện làm mạnh hệ thống (hardening), bằng cách loại bỏ các dịch vụ hoặc giao thức không cần thiết và nhận biết tất cả các hệ thống tiếp xúc trực tiếp với internet.
• Vô hiệu hóa các chức năng php không cần thiết trong "php.ini" , chẳng hạn như eval(), exec(), peopen(), proc_open() và passthru().
• Thường xuyên kiểm tra và xem xét các nhật ký từ máy chủ web để phát hiện hoạt động không bình thường.

Tham khảo
Cisco Talos Blog​