افزایش چشم‌گیر تهدیدات Web Shell

به گزارش کارگروه حملات سایبری سایبربان ؛ از اصلی‌ترین دلایل استقبال مهاجمان از Web Shell، سادگی و در عین حال نقش مؤثر و کلیدی آن در اجرای موفق یک حمله سایبری است.
در فاصله آگوست ۲۰۲۰ تا ژانویه ۲۰۲۱، مایکروسافت ماهانه حدود ۱۴۰ هزار Web Shell را شناسایی کرده است که در مقایسه با میانگین ۷۷ هزار مورد دوره قبل از آن، حدود دو برابر افزایش داشته است. 
مهاجمان با استفاده از این تکنیک و با بهره‌جویی (Exploit) از ضعف‌های امنیتی ، فرامین مختلفی را  بر روی سرور آلوده با اهدافی همچون سرقت داده‌ها، رخنه به شبکه سازمان یا توزیع بدافزارهای دیگر، اجرا می‌کنند.
همچنین مهاجم سایبری،  می‌تواند دستورات خود را در یک رشته به اصطلاح User Agent یا پارامترهای رد و بدل شده در جریان تبادل سرویس‌دهنده و سرویس‌گیرنده (Server/Client) مخفی کند. 
مهاجمان سایبری،  با ترکیب این روش‌ها یک Web Shell چندبایتی، اما مخرب را تولید می‌کنند اما در بسیاری موارد تا زمانی که مهاجمان از  Shell استفاده نکنند، محتوای واقعی آن مشخص نمی‌شود.
تهدید Web Shell مجموعه کد کوچکی است که با زبان‌های اسکریپت‌نویسی متداولی نظیر ASP، PHP یا JSP نوشته شده و مهاجمان با تزریق آنها در سرورهای وب (Web Server)، بستر را برای کنترل از راه دور سرور و اجرای کدهای بالقوه مخرب بر روی آنها فراهم می‌کنند.
مختصر بودن کدهای Web Shell و سادگی جاسازی آنها در میان کدهای معتبر، شناسایی آنها را به کاری پرچالش تبدیل کرده است. 
تکنیک Web Shell  می‌تواند با هر یک از زبان‌های رایج ساخت برنامه‌های وب، برنامه‌نویسی شود. در هر زبان، روش‌های متعددی برای نوشتن کدی فراهم است، که وظیفه آن دریافت فرامین دلخواه مهاجم و اجرای آنهاست. 
عواقب راهیابی Web Shell به یک سرور وب، می‌تواند تبعات بسیار جدی و گاه جبران‌ناپذیری را متوجه سازمان کند؛ بنابراین با توجه به گسترش رایانش ابری و الکترونیکی شدن خدمات، لازم است تا مسئولان امنیت سازمان‌ها به ملاحظات امنیتی سرورها،  بیش از قبل توجه کنند.
کارشناسان مرکز مدیریت راهبردی افتا از همه کارشناسان IT سازمانها و زیرساخت‌ها می خواهند تا برای مقاوم‌‌سازی سرورهای وب در برابر تهدیدات Web Shell ، اصلاحیه‌های امنیتی را  بر روی سامانه‌های قابل دسترس بر روی اینترنت، بطور کامل نصب و از عدم آسیب‌پذیر بودن برنامه‌های بر روی آنها، اطمینان حاصل کنند.
برای محدودسازی تبعات ناشی از یک سرور آلوده لازم است تا شبکه هر زیر ساخت تقسیم بندی  (Network Segmentation) شود  و حتما از ضدویروس به‌روزشده استفاده کنند. 
 از آنجا که سامانه‌های قابل دسترس بر روی اینترنت، بیش از سایرین در معرض پویش و حمله واقع می‌شوند، ضروری است در اولین فرصت، لاگ‌های سرورهای وب، ممیزی و مرور مستمر شوند.
به گفته کارشناسان ، لازم است تا متخصصانIT دستگاه‌های زیر ساختی، برای جلوگیری از برقراری ارتباطات با سرور فرماندهی  (C۲)  در میان نقاط پایانی،  دیواره آتش و نفوذیاب را بطور صحیح پیکربندی کرده و دامنه نفوذ و سایر فعالیت‌های مخرب را محدود و مسدود کنند.
  به حداقل رساندن سطح دسترسی حساب‌های کاربری و تا حد امکان پرهیز از بکارگیری از حساب‌های کاربری محلی (Local) و تحت دامنه (Domain) با سطح Administrator از دیگر راهکارهای لازم برای جلوگیری از راهیابی Web Shell به یک سرور وب است. 
  کارشناسان مرکز مدیریت راهبردی افتا، رصد لاگ‌های دیواره‌های آتش و پراکسی‌ها را برای شناسایی دسترسی‌های غیرضروری به سرویس‌ها و درگاه‌ها،  از دیگر راه‌های مقاومت در برابر تهدیدات Web Shell عنوان می‌کنند. 

مرکز مدیریت راهبردی افتا، اطلاعات فنی تکنیک Web Shell و حمله مهاجمان سایبری از این طریق به سرورهای وب را در لینک https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۲۷۹۹/  منتشر کرده است.