Uzmanlar, saldırganların bulut konusunda daha bilinçli hale gelmesiyle birlikte, güvenliği ihlal edilmiş bir sunucuya komutlar vermek için kullanımı kolay bir arayüz sağlayan, yaygın bir sömürü sonrası araç türü olan web kabuklarının giderek daha popüler hale geldiğini söylüyor.
WSO-NG olarak bilinen bir Web kabuğunun yakın zamanda oturum açma sitesini 404 “Sayfa Bulunamadı” açılış sayfası olarak gizlediği, VirusTotal gibi yasal hizmetler aracılığıyla potansiyel hedefler hakkında bilgi topladığı ve bir yol olarak Amazon Web Hizmetleri ile ilgili meta verileri taradığı görüldü. İnternet yönetim firması Akamai, geliştiricilerin kimlik bilgilerinin çalındığını belirtti. 22 Kasım’da yayınlanan bir analiz. Diğer Web kabukları, Cl0p ve C3RB3R fidye yazılımı çeteleri tarafından konuşlandırıldı; ikincisi, Atlassian Confluence kurumsal sunucusunu çalıştıran sunucuları bu ayın başlarında toplu bir istismar kampanyasıyla istismar etti.
Akamai tehdit araştırma direktörü Maxim Zavodchik, saldırganların bulut kaynaklarını giderek daha fazla hedef alması nedeniyle, web kabuklarının ele geçirilen sunuculara komutlar vermenin kullanımı kolay bir yolu haline geldiğini söylüyor.
“Günümüzde yalnızca API’lerin değil Web uygulamalarının da izin verdiği saldırı yüzeyi gerçekten çok büyük” diyor. “Dolayısıyla, bir Web güvenlik açığından yararlanırken, bir sonraki en kolay adım bir Web platformu kurmak olacaktır; bir implant, ikili olmayan ancak Web sunucusuyla aynı dili konuşan bir şey.”
Akamai, büyük bir kampanyada kullanılmasının ardından WSO-NG’ye odaklandı Magento 2 e-ticaret mağazalarını hedefliyorancak diğer gruplar farklı Web kabukları kullanıyor. Örneğin Cl0p fidye yazılımı grubu, 2020’de Kiteworks Accellion FTA’daki ve Mayıs ayında Progress Software’in MOVEit yönetilen dosya aktarım hizmetindeki güvenlik açıklarından yararlandıktan sonra sırasıyla DEWMODE ve LEMURLOOT Web kabuklarını düşürdü. ağ şirketi F5 tarafından Haziran 2023’te yapılan bir analiz.
Microsoft, 2021’de Web kabuklarının kullanımının önemli ölçüde arttığını ve şirketin izlenen sunucularda Web kabuklarıyla önceki yıla kıyasla neredeyse iki kat daha fazla karşılaştığını kaydetti. bir analizde belirtilen. Daha güncel veriler mevcut değildir.
“Web kabukları, saldırganların verileri çalmak veya sunucuyu bir amaç olarak kullanmak için sunucularda komut çalıştırmasına olanak tanır. [a] Microsoft, analizinde saldırganların etkilenen bir kuruluşta varlığını sürdürmesine izin verirken, kimlik bilgisi hırsızlığı, yanal hareket, ek yük dağıtımı veya klavye üzerinde uygulamalı etkinlik gibi diğer faaliyetler için fırlatma rampası olduğunu belirtti.
Gizli ve Anonim
Saldırganların Web kabuklarını tercih etmelerinin bir nedeni de radar altında kalma yetenekleridir. Dosyaların ve kodun değiştirilmesi çok kolay olduğundan, web kabuklarının statik analiz teknikleriyle tespit edilmesi zordur. Üstelik Akamai’den Zavodchik, Web kabuğu trafiğinin – yalnızca HTTP veya HTTPS olması nedeniyle – doğrudan karışarak trafik analiziyle tespit edilmesini zorlaştırdığını söylüyor.
“Aynı bağlantı noktalarında iletişim kuruyorlar ve bu, web sitesinin yalnızca başka bir sayfası” diyor. “Bu, sunucudan saldırgana giden bağlantıyı yeniden açan klasik kötü amaçlı yazılımlara benzemiyor. Saldırgan yalnızca web sitesine göz atıyor. Kötü amaçlı bir bağlantı yok, dolayısıyla sunucudan saldırgana anormal bağlantılar gitmiyor.”
Ayrıca, çok sayıda kullanıma hazır Web kabuğu olduğundan, saldırganlar, savunmacılara kimlikleri konusunda ipucu vermeden bunları kullanabilirler. Örneğin WSO-NG Web kabuğu GitHub’da mevcuttur. Ve Kali Linux açık kaynaktır; kırmızı ekipler ve saldırı operasyonları için kullanımı kolay araçlar sağlamaya odaklanan bir Linux dağıtımıdır ve 14 farklı Web kabuğu sağlayarak penetrasyon testçilerine dosya yükleme ve indirme, komut yürütme ve veritabanları ve arşivler oluşturma ve sorgulama yeteneği verir.
Zavodchik, “APT tehdit aktörleri özel olarak uyarlanmış ikili implantlardan Web kabuklarına (kendi Web kabukları veya bazı genel Web kabukları) geçtiklerinde, hiç kimse bu faktörleri belirli gruplara atfedemez” diyor.
Şüpheli Dikkatle Savun
En iyi savunma, Web trafiğini şüpheli kalıplar, anormal URL parametreleri ve bilinmeyen URL’ler ve IP adresleri açısından izlemektir. F5 Networks’ün kıdemli tehdit araştırmacısı Malcolm Heath, Web kabukları üzerine Haziran ayındaki bir yazısında, sunucuların bütünlüğünü doğrulamanın aynı zamanda önemli bir savunma taktiği olduğunu yazdı.
Şirket, “Dizin içeriği izleme de iyi bir yaklaşımdır ve izlenen dizinlerdeki değişiklikleri anında tespit edebilen ve değişiklikleri otomatik olarak geri alabilen bazı programlar mevcuttur” dedi. “Ek olarak, bazı savunma araçları anormal süreç oluşumunun tespit edilmesine olanak tanıyor.”
Diğer yöntemler arasında, bir Web kabuğunun ilk erişimini ve dağıtımını tespit etmeye odaklanma yer alır. Web uygulaması güvenlik duvarları (WAF’ler), trafik akışlarına bakma yetenekleriyle aynı zamanda sağlam savunma önlemleridir.