image

Shadowserver detecteert 76.000 webshells op Exchange-servers

dinsdag 30 maart 2021, 13:51 door Redactie, 8 reacties

Er zijn zeker nog zo'n 76.000 webshells op gecompromitteerde Exchange-servers actief, een daling van de 283.000 webshells die twee weken geleden werden gedetecteerd, zo blijkt uit onderzoek van de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt.

Shadowserver voerde de afgelopen weken meerdere scans uit naar kwetsbare Exchange-servers. Twee weken geleden detecteerde de organisatie nog zo'n 283.000 unieke webshells op bijna 87.000 ip-adressen en 102.000 hostnames. Tijdens de laatste scan van gisterenavond bleek dat van de eerder waargenomen webshells er nog bijna 76.000 actief waren. Verspreid over 14.300 ip-adressen en bijna 17.000 hostnames.

De Exchange-servers zijn gecompromitteerd via verschillende kwetsbaarheden waarvoor Microsoft op 2 maart noodpatches uitbracht. Die beveiligingslekken werden echter al voor het uitkomen van de updates misbruikt. Aanvallers gebruikten de kwetsbaarheden voor het installeren van webshells. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Zo zijn de webshells onder andere gebruikt voor de installatie van ransomware op de gecompromitteerde servers.

Shadowserver deelt de data onder andere met opsporingsdiensten, internetproviders en 120 nationale computer security incident response teams in 148 landen. Zo kunnen deze partijen weer op hun beurt de getroffen organisaties benaderen.

Reacties (8)
30-03-2021, 14:38 door Anoniem
Shadowserver deelt de data onder andere met opsporingsdiensten, internetproviders en 120 nationale computer security incident response teams in 148 landen. Zo kunnen deze partijen weer op hun beurt de getroffen organisaties benaderen.
Logisch dat men minder ziet. Er worden ook wrappers geïnstalleerd waardoor de scanners van shadowserver worden gedropped.
30-03-2021, 16:04 door buttonius - Bijgewerkt: 30-03-2021, 16:23
Door Anoniem 14:38:
Shadowserver deelt de data onder andere met opsporingsdiensten, internetproviders en 120 nationale computer security incident response teams in 148 landen. Zo kunnen deze partijen weer op hun beurt de getroffen organisaties benaderen.
Logisch dat men minder ziet. Er worden ook wrappers geïnstalleerd waardoor de scanners van shadowserver worden gedropped.
Bedoel je dat instanties die Exchange servers draaien wel actief de scans van Shadowserver blokkeren, maar niet die webshells verwijderen? Dat zou toch echt crimineel slecht systeembeheer zijn...
Of bedoel je dat de beheerders (?) van die webshells maatregelen hebben genomen waardoor ze niet meer zichtbaar zijn voor de scanner van Shadowserver?
30-03-2021, 17:17 door Anoniem
Door Anoniem:
Shadowserver deelt de data onder andere met opsporingsdiensten, internetproviders en 120 nationale computer security incident response teams in 148 landen. Zo kunnen deze partijen weer op hun beurt de getroffen organisaties benaderen.
Logisch dat men minder ziet. Er worden ook wrappers geïnstalleerd waardoor de scanners van shadowserver worden gedropped.

Je vraagt je dan af waarom die wrappers niet op al de gecompromiteerde servers zijn gezet zodat Shadowserver nul webshells zou hebben gevonden.
30-03-2021, 17:53 door Anoniem
Door Anoniem:
Door Anoniem:
Shadowserver deelt de data onder andere met opsporingsdiensten, internetproviders en 120 nationale computer security incident response teams in 148 landen. Zo kunnen deze partijen weer op hun beurt de getroffen organisaties benaderen.
Logisch dat men minder ziet. Er worden ook wrappers geïnstalleerd waardoor de scanners van shadowserver worden gedropped.

Je vraagt je dan af waarom die wrappers niet op al de gecompromiteerde servers zijn gezet zodat Shadowserver nul webshells zou hebben gevonden.

De webshell heeft een password, en wacht tot de boef binnenkomt.
Systeembeheerder patched, webshell blijft achter, boef loopt tegen de lamp, webshell blijft achter.

andere boef gaat webshell weer brute forcen, en Shadowserver detecteert, en rapporteert.
30-03-2021, 18:46 door Anoniem
Door buttonius:
Door Anoniem 14:38:
Shadowserver deelt de data onder andere met opsporingsdiensten, internetproviders en 120 nationale computer security incident response teams in 148 landen. Zo kunnen deze partijen weer op hun beurt de getroffen organisaties benaderen.
Logisch dat men minder ziet. Er worden ook wrappers geïnstalleerd waardoor de scanners van shadowserver worden gedropped.
Bedoel je dat instanties die Exchange servers draaien wel actief de scans van Shadowserver blokkeren, maar niet die webshells verwijderen? Dat zou toch echt crimineel slecht systeembeheer zijn...
Of bedoel je dat de beheerders (?) van die webshells maatregelen hebben genomen waardoor ze niet meer zichtbaar zijn voor de scanner van Shadowserver?

Hij heeft het over tcpwrappers (vermoed ik). Hiermee kan je niet zien welke applicatie er achter een port hangt. TCPWrapping is een beveiliging op een applicatie (niet de port zelf) die de 3-way handshake afbreekt. Meestal een IPS/IDS of soms een applicatie firewall rule

Als je een nmap scan doet op een aantal tcpwrapped porten/apps dan zie je zo iets:

20/tcp open tcpwrapped
21/tcp open tcpwrapped
22/tcp open tcpwrapped

Je weet nu wel dat port 21 open is, en dat het vermoedelijk om ftp gaat. Maar je weet niet om welke applicatie of versie het gaat.

Als elke admin tcpwrapping zou gebruiken, dan zou het leven een stuk kutter zijn voor hackers lijkt me (behalve als je nogsteeds dezelfde standaard poort gebruikt op WAN situaties. Hackers moeten dan malware-spagetti/rijstballetjes gooien en hopen dat het plakt, ipv eerst kunnen enumeraten.

https://security.stackexchange.com/questions/23407/how-to-bypass-tcpwrapped-with-nmap-scan voor meer informatie.
30-03-2021, 19:56 door Anoniem
Door Anoniem:
Door Anoniem:
Shadowserver deelt de data onder andere met opsporingsdiensten, internetproviders en 120 nationale computer security incident response teams in 148 landen. Zo kunnen deze partijen weer op hun beurt de getroffen organisaties benaderen.
Logisch dat men minder ziet. Er worden ook wrappers geïnstalleerd waardoor de scanners van shadowserver worden gedropped.

Je vraagt je dan af waarom die wrappers niet op al de gecompromiteerde servers zijn gezet zodat Shadowserver nul webshells zou hebben gevonden.
De lijst met IP nummers verandert ook. Hier een voorbeeld en daar zijn er ontiegelijk veel van: http://scan-14a.shadowserver.org/ om het ipv4 internet een paar keer per dag te kunnen scannen.
Nederland is zo te zien wel een topland vwb exchange hacks: https://www.shadowserver.org/wp-content/uploads/2021/03/Microsoft_ExchangeCompromised_Microsoft_Exchange_Servers-20210316-20210329-winkel_tripel_world_bmng_200407-test1-2px.jpg
31-03-2021, 22:12 door Anoniem

Bedoel je dat instanties die Exchange servers draaien wel actief de scans van Shadowserver blokkeren, maar niet die webshells verwijderen? Dat zou toch echt crimineel slecht systeembeheer zijn...
??? Je moet alles wat scans doet blokkeren, zolang je niet zoiets afneemt of er voor betaald krijgt om die informatie te verstrekken, hoe weet je nu wat iemand met die data gaat doen, en of het wel of niet in jouw belang is. Enige wat je moet doorlaten is klantverbindingen.
01-04-2021, 09:38 door buttonius
Door Anoniem 22:12:

Bedoel je dat instanties die Exchange servers draaien wel actief de scans van Shadowserver blokkeren, maar niet die webshells verwijderen? Dat zou toch echt crimineel slecht systeembeheer zijn...
??? Je moet alles wat scans doet blokkeren, zolang je niet zoiets afneemt of er voor betaald krijgt om die informatie te verstrekken, hoe weet je nu wat iemand met die data gaat doen, en of het wel of niet in jouw belang is. Enige wat je moet doorlaten is klantverbindingen.
Ik ben het helemaal met je eens dat je geen poorten open moet hebben staan zonder goede reden. Mijn knagende vermoeden is dat sommige systeembeheerders (nadat van Shadowserver horen dat er iets mis is) alleen die poort dichtzetten zonder daadwerkelijk de web shell te verwijderen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.