A web shell-támadás növekvő népszerűségnek örvend a hackerek körében. Összeállításunkban bemutatjuk mi ez a támadástípus, és hogyan védekezhetünk ellene.

A Microsoft adatai szerint 2020 augusztusa és 2021 januárja között 144 ezer web shell-támadást észleltek – az egy évvel korábbi adatokhoz képest duplázódott a számuk.

A legtöbb webszerver végrehajt szerveroldali kódokat, amikor a böngészőjében a látogató felkeres egy weboldalt, amely az adott szerveren található. A web shell-ek olyan kisméretű programok (szkriptek), amelyeket a hackerek azért telepítenek, hogy megtámadják az érintett weboldalakat vagy webes szolgáltatásokat, illetve, hogy előkészítsenek jövőbeli támadásokat.

A telepítésre általában vagy a szerver, vagy pedig a weboldal egy bővítményének a sérülékenységén keresztül kerül sor. Egy web shell segítségével a támadó szabványos parancsokat hajthat végre a kompromittált webszervereken. A web shell PHP, JSP vagy ASP kódot használ erre a célra.

Amikor a támadók sikeresen telepítenek egy web shellt, akkor ugyanazokat a parancsokat képesek futtatni, amire csak a weboldal adminisztrátorainak van joguk. Ezek a parancsok adatokat lophatnak, kártékony kódot telepíthetnek, vagy rendszerinformációt szolgáltatnak, amelyek segítségével a támadók mélyebben be tudnak hatolni a hálózatba.

Nehéz felfedezni őket

A web shell-ek gyakorlatilag állandó hátsó ajtók, melyeket legendásan nehéz felfedezni, részben azért, mert többféleképpen futtatják a parancsokat. A támadók elrejtik ezeket a parancsokat a felhasználói paraméterekben, média fájlokban vagy egyéb, nem futtatható fájlformátumokban.

A web shell jelenlétére bizonyos jelek azért utalnak: például a szerver naplófájljában ismeretlen kapcsolatok jelennek meg, a megszokottnál magasabb lehet a szerver használat, nem normális időpecséteket észlelünk stb.

A web shell támadások elhárítása

A támadások elhárítására több lehetséges megoldás van. Például, azonosíthatjuk és javíthatjuk a webszerverek és webes alkalmazások sérülékenységeit és félrekonfigurálásait sérülékenység-kezelő megoldásokkal. Emellett a támadásokat megelőzhetjük a hálózat megfelelő szegmentációjával, így a megtámadott webszerverekről nem lehet továbbjutni a hálózat többi részeire. Természetesen a vírusvédelmi megoldások használata is a védekezés részét képezi. A támadásoka felderíthatjük továbbá azzal, ha rendszeresen auditáljuk és elemzzük a vállalati hálózati logokat, így tisztában lehetünk, hogy milyen rendszerek kitettek hasonló támadásoknak.

Segít a rendőrség?

Az idén év elején közismertté vált MS Exchange sérülékenység esetében is a támadók többek között web shell használatával telepítettek zsarolóvírust az érintett szerverekre. Ezt már az FBI, vagyis az amerikai szövetségi nyomozóiroda sem nézte végig ölbe tett kézzel. Egy bírósági végzéssel felhatalmazva több száz érintett amerikai webszerverről a nyomozók távolították el a web shelleket. Az érintett szervezeteket csak a szerverek kitakarítása után értesítették, ami miatt a szövetségi iroda intézkedéseit vegyes érzelmekkel fogadták.

Forrás: G DATA blog