VS waarschuwt voor 'cyberincidenten' door webshells
Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) heeft organisaties gewaarschuwd voor 'cyberincidenten' die door webshells worden veroorzaakt. Een webshell is een script dat een aanvaller op een webserver plaatst, zodat hij de machine op afstand kan besturen.
Via de geïnfecteerde webserver kan vervolgens worden geprobeerd om systemen op het interne netwerk van een organisatie aan te vallen. Het gebruik van webshells door Advanced Persistent Threat (APT) en criminele groepen heeft tot grote cyberincidenten geleid, aldus het US-CERT. Webshells kunnen in verschillende talen worden geschreven, zoals PHP en ASP. Perl, Ruby, Python en Unix shellscripts worden ook gebruikt.
Om de webshell te installeren moet een aanvaller eerst al aanwezige kwetsbaarheden vinden, bijvoorbeeld in het contentmanagementsysteem (CMS) of de webserversoftware. Zodra de webshell is geupload kan die voor verschillende doeleinden worden gebruikt, zoals het stelen van inloggegevens, het installeren van aanvullende malware, als communicatiekanaal om systemen op interne netwerken te besturen die niet op internet zijn aangesloten en als command & control-infrastructuur, bijvoorbeeld in de vorm van een botnet.
Om installatie van een webshell te voorkomen adviseert het US-CERT om applicaties en besturingssysteem up-to-date te houden, verminderde rechten op de webserver te gebruiken, een demilitarized zone (DMZ) tussen het bedrijfsnetwerk en online systemen toe te passen, een reverse proxy te gebruiken, systemen en applicaties op kwetsbaarheden te scannen en gebruikersinvoer te valideren.
Het mag dan wel een targeted attack zijn, maar de techniek is simpel, shells zijn dus geen APT.
* https://www.google.com/?gws_rd=ssl#q=C99+shell
Het mag dan wel een targeted attack zijn, maar de techniek is simpel, shells zijn dus geen APT.
* https://www.google.com/?gws_rd=ssl#q=C99+shell
Webshells mogen dan oud zijn, maar ik ben het niet eens met je uitspraak over dat ze geen APT zijn. Ze kunnen weldegelijk onderdeel van een APT zijn. Mede doordat ze voor een specifieke omgeving geschreven kunnen zijn, waar een kwaadwillende toegang tot wil verkrijgen. Dit kan zelfs een interne bedrijfsapplicatie zijn. Als je kijkt naar een voorbeeld als de Carbanak hack, is dat echt niet iets geks.
Het mag dan wel een targeted attack zijn, maar de techniek is simpel, shells zijn dus geen APT.
* https://www.google.com/?gws_rd=ssl#q=C99+shell
Webshells mogen dan oud zijn, maar ik ben het niet eens met je uitspraak over dat ze geen APT zijn. Ze kunnen weldegelijk onderdeel van een APT zijn. Mede doordat ze voor een specifieke omgeving geschreven kunnen zijn, waar een kwaadwillende toegang tot wil verkrijgen. Dit kan zelfs een interne bedrijfsapplicatie zijn. Als je kijkt naar een voorbeeld als de Carbanak hack, is dat echt niet iets geks.
APT heeft het woordje "advanced" in zich. Een "webshell" is niet advanced. Ze kunnen worden gebruikt in een targeted attack, maar het is daarmee niet advanced. Het is een standaard interactieve tool voor aanvallers, met name veel gebruikt door script kiddies om hun malware en phishing kits te uploaden naar een gehackte server.
Een webshell heeft de genoemde interactieve basisfuncties. Als er een script voor een bepaald doel is geschreven, is het waarschijnlijk geen webshell. Het is een webapplicatie, in deze context malware. Een willekeurig kwaadaardig script dat draait op een web server noem je daarom geen webshell.
Het mag dan wel een targeted attack zijn, maar de techniek is simpel, shells zijn dus geen APT.
* https://www.google.com/?gws_rd=ssl#q=C99+shell
Gezien de animatie gif ook weer terug komt (20+ jaar oud https://en.wikipedia.org/wiki/GIF#Animated_GIF ), verbaast mij het ook niet dat zulke scripts (bijna 20 jaar oud) weer terug komen. Iets met nieuwe generatie. Deze lijkt elke 20 jaar het internet opnieuw uit te vinden...
TheYOSH
Het mag dan wel een targeted attack zijn, maar de techniek is simpel, shells zijn dus geen APT.
Of iets een APT is, wordt niet enkel bepaald door een van de gebruikte tools. Wat nou indien ze bijvoorbeeld 0day's gebruiken om de systemen te hacken, alvorens ze die webshells op de systemen plaatsen, om maar wat te noemen ? En vanaf deze systemen vervolgens allerlij andere interne hosts overnemen met behulp van zelf geschreven exploits, en grote hoeveelheden data exfiltreren ?
Verder is ook bij APT's het gebruik van geavanceerde tools zeer zeker geen doel op zichzelf. Waarom moeilijk doen, wanneer het makkelijk kan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
