Microsoft ostrzega przed zagrożeniami web shell

Korporacja poinformowała niedawno na jednym ze swoich blogów, że jej firmowy zespół zajmujący się bezpieczeństwem identyfikuje każdego dnia 77 tys. aktywnych zagrożeń klasy web shell i 46 tysięcy rozproszonych po całym świecie serwerów, które są narażone na tego typu ataki.

Malware web shell należy do zagrożenia typu backdoor charakteryzującego się tym, że umożliwia hakerowi zdalny dostęp do powłoki systemowej atakowanego serwera. Microsoft podaje, że najpopularniejsze obecnie zagrożenie tego typu kryje się za nazwą China Chopper. Ta wspierająca wiele funkcji powłoka internetowa, którą pierwszy raz zidentyfikowano w 2012. Jak nietrudno się domyśleć, została opracowana przez chińskich hakerów.

Jest to zatrważająca informacja (chodzi o ilość aktywnych zagrożeń tego typu) świadcząca o tym, że hakerzy sięgają coraz częściej po tego rodzaju metodę atakowania serwerów. Nigdy bowiem wcześniej żadne badanie nie odnotowało tak dużej ilości szkodliwego oprogramowania tego typu zagnieżdżonego w pamięci systemów IT.

Zobacz również:

I tak np. na początku tego roku firma GoDaddy poinformowała, że w całym 2019 roku wykryła i usunęła 3600 zagrożeń znajdujących się w powłoce internetowe (bo taką jest web shell), czyli zdecydowanie mniej niż codzienna liczba wykrywanych przez Microsoft szkodliwych kodów tego typu. Jedynym rozsądnym wytłumaczeń tak dużej różnicy może być fakt, że Microsoft jest gigantem technologicznym i dysponuje zdecydowanie efektywniejszą platformą identyfikującą takie zagrożenia

A zagrożenia tego typu są bardzo groźne gdyż generują wizualne interfejsy, których hakerzy mogą używać do penetrowania zaatakowanego serwera i obsługiwanego przez niego systemu plików. W większości przypadków powłoki internetowe wspierają funkcje pozwalające zarządzać na wszystkie możliwe sposoby znajdującymi się w jego pamięci plikami. Haker może zmieniać ich nazwy, usuwać je czy dopisywać nowe pliki.

Może również zmieniać uprawnienia kontrolujące dostęp do plików. Hakerzy instalują zwykle swoje powłoki sieciowe, wykorzystując do tego celu luki w zabezpieczeniach serwerów lub w aplikacjach internetowych (takich jak CMS, wtyczki CMS, motywy CMS, CRM, intranety itp.).

Powłoki internetowe można pisać w dowolnym języku, co pozwala hakerom ukrywać je w kodzie dowolnej witryny pod różnymi nazwami ogólnymi, takimi jak Index.asp lub uploader.php). Dlatego wykrycie ich jest praktycznie niemożliwe bez pomocy odpowiedniego narzędzia, takiego jak skaner.

Microsoft ostrzega dlatego administratorów systemu, aby przyjrzeli się uważnie temu zagrożeniu. Tym bardziej iż hakerzy używają powłok internetowych to rozpowszechniania innych programów zawierających szkodliwy kod.


TOP 200