Microsoft обеспокоена эскалацией атак через веб-оболочку: как работает зловред

Количество атак через веб-оболочки увеличивается. Защищайтесь! Фото: Pixabay

«Каждый месяц с августа 2020 года по январь 2021 года мы регистрировали в среднем 140 тыс. обнаружений этих угроз на серверах, что почти вдвое больше, чем в среднем 77 тыс. в прошлом году», — заявили исследователи.

В компании считают, что рост популярности веб-оболочек может быть связан с тем, насколько они просты и эффективны для злоумышленников, пишет ITPro.

Читайте в тему:

• Microsoft запускает новую платформу удалённой работы Viva.
• Microsoft Teams заработает без интернета.
• Microsoft Teams станет меньше использовать ОЗУ и ЦП.

Веб-оболочка обычно представляет собой небольшой фрагмент вредоносного кода, написанный на типичных языках программирования веб-разработки (например, ASP, PHP, JSP), который злоумышленники внедряют на веб-серверы для обеспечения удалённого доступа и выполнения кода для функций сервера.

«Веб-оболочки позволяют злоумышленникам запускать команды на серверах для кражи данных или использовать сервер в качестве стартовой площадки для других действий» — считают исследователи Microsoft.

Microsoft заявила, что хакеры устанавливают веб-оболочки, используя недостатки безопасности веб-приложений на серверах с выходом в Интернет. Злоумышленники находят эти серверы с помощью поисковых систем, таких как shodan.io.

Офтоп: Как ускорить заключение сделок в 3 раза?

Ещё один фактор популярности веб-оболочек — возможность долго оставаться незамеченной в сети жертвы.

«Веб-оболочки гарантируют, что в скомпрометированной сети существует бэкдор, потому что злоумышленник оставляет вредоносный имплант после установки первоначального плацдарма на сервере. Если их не обнаружить, веб-оболочки предоставляют злоумышленникам возможность продолжать собирать данные и монетизировать сети, к которым у них есть доступ », — говорят исследователи. Они добавили, что обнаружение и удаление всех бэкдоров является важным аспектом восстановления после взлома.

По мнению исследователей, обнаружение таких инструментов в инфраструктуре сопряжено с серьезными проблемами. Хакеры могут создавать веб-оболочки, используя несколько языков веб-приложений. Еще одна проблема заключаются в том, что зловред может скрываться под видом безобидного приложения.

Офтоп: Что можно автоматизировать: ТОП-15 бизнес-процессов.

«Кажущийся безобидным сценарий может быть вредоносным в зависимости от намерения. Но когда злоумышленники могут загружать произвольные входные файлы в веб-каталог, они могут загружать полнофункциональную веб-оболочку, которая позволяет выполнять произвольный код — что делают некоторые очень простые веб-оболочки», — говорят исследователи.

Кроме этого, хакеры могут маскировать оболочки в неисполняемых форматах, таких как медиафайлы.

«Злоумышленники могут скрыть сценарии веб-оболочки внутри фотографии и загрузить её на веб-сервер. Когда этот файл загружается и анализируется на рабочей станции, фотография безвредна. Но когда веб-браузер запрашивает этот файл у сервера, вредоносный код запускается на стороне сервера», — утверждают в компании.

Ранее Startpack сообщал, что Apple спрячет IP от Google.

Startpack также подготовил список инструментов для организации эффективной командной работы над проектами или для повседневной деятельности. Системы позволяют быстро наладить коммуникацию между членами команды, спланировать деятельность, распределить задачи и проконтролировать результат. Раздел включает в себя CRM, почтовые сервисы, мессенджеры, системы управления задачами, тайм-трекеры, генераторы отчётов и документов, а так же многое другое.

Особая рекомендация: Worksection — инструмент управления проектами для бизнеса. Отлично подходит для растущих компаний, в которых необходимо систематизировать свои задачи.

Интересная новость? Прокомментируйте её или кликните на значок «+» ниже!