Cơ quan An ninh quốc gia Hoa Kỳ (NSA) và Cục An ninh tình báo Úc (ASD) mới đây đã đã phát hành một hướng dẫn bảo mật về các kỹ thuật có thể được sử dụng để phát hiện và ngăn chặn webshell.
Webshell đã là mối đe dọa trong nhiều năm trở lại đây, chúng có thể được phát tán tới máy chủ nội bộ hoặc máy chủ public để giành hoặc giữ quyền truy cập trên các mạng bị xâm nhập. Các webshell độc hại rất khó để bị phát hiện từ hầu hết các công cụ bảo mật.
- Tin tặc sử dụng các chương trình này để thực thi các lệnh tùy ý trên hệ thống, thường được gửi qua HTTPS. Chúng cũng cho phép tải thêm các payload độc hại trên các máy chủ bị nhiễm, từ đó làm bàn đạp tấn công các máy khác trong mạng.
- Tin tặc có thể tải webshell lên các máy chủ web có lỗ hổng dưới nhiều hình thức khác nhau, chẳng hạn như các plugin ứng dụng, Unix shell script, các đoạn mã ASP và PHP được chèn trong các trang của ứng dụng web hoặc các chương trình được tạo thủ công khác.
- Hầu hết cácwebshell cho phép kẻ tấn công sao chép, đổi tên, chỉnh sửa, tải lên hoặc di chuyển các tệp mới trên máy chủ bị nhiễm. Tin tặc cũng có thể sử dụng chúng để sửa đổi các quyền của thư mục và tệp để đánh cắp dữ liệu nhạy cảm từ máy chủ.
- Tin tặc thường triển khai webshell bằng cách khai thác các lỗi bảo mật trong các máy chủ hoặc ứng dụng web được công khai ngoài internet, chẳng hạn như hệ thống quản lý nội dung (CMS), các theme, plugin , ứng dụng doanh nghiệp, vv….
Các chuyên gia từ NSA đã cảnh báo các quản trị viên website rằng webshell không chỉ ảnh hưởng tới máy chủ website được public ngoài Internet.
“Những kẻ tấn công thường triển khai các webshell trên các máy chủ web không có internet. Các ứng dụng web nội bộ thường dễ tấn công hơn do quản lý bản vá bị trì hoãn hoặc yêu cầu bảo mật thấp”
Hướng dẫn bảo mật này thảo luận về các kỹ thuật mà các nhóm an ninh mạng có thể sử dụng để khám phá các webshell ẩn, để quản lý các quá trình khôi phục sau khi tìm thấy các webshell và để ngăn chặn tin tặc triển khai các chương trình độc hại tương từ trên các máy chủ chưa được vá.
“Phương pháp bắt gói tin (PCAP) và lưu lượng mạng có thể xác định webshell đã sử dụng để tới đâu trong mạng.”
“Nếu quản trị viên không phát hiện ra toàn bộ phạm vi xâm nhập và xóa bỏ webshell không hoàn toàn, tin tặc có thể được lấy lại quyền truy cập thông qua các kênh khác ngay lập tức hoặc sau đó.”
Trong bài viết tiếp theo, chúng tôi sẽ hướng dẫn cụ thể một số phương pháp phát hiện webshell được NSA khuyến cáo.
Theo Computing