نماد سایت اتاق خبر شبکه گستر

افزایش چشم‌گیر تهدیدات Web Shell

بر طبق گزارشی که شرکت مایکروسافت (Microsoft Corp) آن را منتشر کرده تعداد تهدیدات موسوم به Web Shell در یک سال گذشته تقریباً دو برابر شده است.

در فاصله آگوست 2020 تا ژانویه 2021، مایکروسافت ماهانه حدود 140 هزار Web Shell را شناسایی کرده که در مقایسه با میانگین 77 هزار مورد دوره قبل از آن، افزایشی 182 درصدی را نشان می‌دهد.

 

 

در ادامه این مطلب که با مشارکت شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، چکیده‌ای از گزارش مایکروسافت ارائه گردیده است.

افزایش استفاده از Web Shell، نه فقط در حملات عمومی که در حملات هدفمند نیز چشم‌گیر بوده است.

از اصلی‌ترین دلایل استقبال مهاجمان از Web Shell، سادگی و در عین حال نقش مؤثر و کلیدی آن در اجرای موفق یک حمله سایبری است.

Web Shell مجموعه کد کوچکی است که با زبان‌های اسکریپت‌نویسی متداولی نظیر ASP ،PHP یا JSP نوشته شده و مهاجمان با تزریق آنها در سرورهای وب (Web Server)، بستر را برای کنترل از راه دور سرور و اجرای کدهای بالقوه مخرب بر روی آنها فراهم می‌کنند. این تکنیک مهاجمان را قادر به اجرای فرامین مختلف بر روی سرور آلوده با اهدافی همچون سرقت داده‌ها، رخنه به شبکه سازمان یا توزیع بدافزارهای دیگر می‌کند.

مختصر بودن کدهای Web Shell و سادگی جاسازی آنها در میان کدهای معتبر، شناسایی آنها را به کاری پرچالش تبدیل کرده است. Web Shell می‌تواند با هر یک از زبان‌های رایج ساخت برنامه‌های وب، برنامه‌نویسی شود. در هر زبان، روش‌های متعددی برای نوشتن کدی که وظیفه آن دریافت فرامین دلخواه مهاجم و اجرای آنهاست فراهم است. همچنین مهاجم می‌تواند دستورات خود را در یک رشته به اصطلاح User Agent یا پارامترهای ردوبدل شده در جریان تبادل سرویس‌دهنده و سرویس‌گیرنده (Server/Client) مخفی کند.

مهاجمان نیز با ترکیب این روش‌ها یک Web Shell چندبایتی، اما مخرب را تولید می‌کنند.

تصویر زیر نمونه‌ای از یک Web Shell را نمایش می‌دهد که تنها کلمه نسبتاً معنی‌دار آن، “eval” است و به‌سادگی ممکن است در حین تحلیل و بازبینی کد از آن چشم‌پوشی شود.

 

 

ضمن آن‌که در بسیاری موارد تا زمانی که Shell مورد استفاده مهاجم قرار نگیرد، محتوای واقعی آن مشخص نمی‌شود. برای مثال در کد زیر قابل توجه‌ترین عبارات “system” و “cat /etc/passwd” است؛ اما این عبارات نیز زمانی ظاهر می‌شوند که مهاجم پارامترهایی را به Web Shell ارسال کرده باشد.

 

 

مهاجمان، معمولاً با بهره‌جویی (Exploit) از ضعف‌های امنیتی، کدهای مخرب Web Shell خود را در سرورهای وب آسیب‌پذیر جاسازی و تزریق می‌کنند. با جستجویی ساده در موتورهای جستجوگری همچون shodan.io به‌راحتی می‌توان سرورهای قابل دسترس بر روی اینترنت را کشف و آنها را مورد هدف قرار داد. عواقب راهیابی Web Shell به یک سرور وب می‌تواند تبعات بسیار جدی و بعضاً جبران‌ناپذیری را متوجه سازمان کند. بنابراین با گسترش رایانش ابری و الکترونیکی شدن خدمات لازم است که ملاحظات امنیتی سرورها بیش از قبل مورد توجه مسئولان امنیت سازمان‌ها قرار بگیرد.

 

 

از جمله اقدامات پیشنهادی در مقاوم‌سازی سرورهای وب در برابر تهدیدات Web Shell می‌توان به موارد زیر اشاره کرد:

مشروح گزارش مایکروسافت با عنوان “Web shell attacks continue to rise” در لینک زیر قابل دریافت و مطالعه است:

https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise

اوایل امسال نیز آژانس امنیت ملی ایالات متحده (NSA) و اداره سیگنال‌های استرالیا (ASD) در گزارشی به بررسی رایج‌ترین آسیب‌پذیری‌های مورد استفاده در حملات مبتنی بر Web Shell پرداختند. این نهادها راهکارهایی نیز برای مقابله با این تهدیدات ارائه کردند که در مسیر زیر قابل دسترس است:

https://github.com/nsacyber/Mitigating-Web-Shells

خروج از نسخه موبایل