image

Amerikaanse ziekenhuizen gewaarschuwd voor Godzilla webshell

woensdag 13 november 2024, 16:57 door Redactie, 1 reacties

Het Amerikaanse ministerie van Volksgezondheid heeft ziekenhuizen en andere medische instellingen gewaarschuwd voor de 'Godzilla webshell' die bij aanvallen wordt ingezet en lastig te detecteren is (pdf). Een webshell is een programma dat aanvallers op een gecompromitteerde server plaatsen om zo toegang tot de server te behouden en verdere aanvallen te kunnen uitvoeren.

De Godzilla webshell is 'filesless' en wordt in het geheugen van een gecompromitteerde server geladen. Eind augustus kwam antivirusbedrijf Trend Micro met een analyse waarin het de webshell een 'in-memory fileless backdoor' noemde. Het feit dat de webshell fileless is maakt het lastig te detecteren, aldus de virusbestrijder. Door alleen in het geheugen actief te blijven kan de malware schijfgebaseerde detectiemechanismes omzeilen.

Daarnaast gebruikt de webshell AES-encryptie voor de communicatie, wat detectie verder kan bemoeilijken. Bij recente aanvallen waarbij Godzilla werd gebruikt, maakten de aanvallers gebruik van CVE-2023-22527. Een bekende kwetsbaarheid in Atlassian Confluence Data Center and Server waardoor een ongeauthenticeerde aanvaller op afstand code op de kwetsbare server kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Aanvallers maken echter ook gebruik van andere kwetsbaarheden, waaronder één in Zoho ManageEngine ADSelfService Plus.

"Vanwege de grote functionaliteit en continue ontwikkeling van Godzilla is het niet praktisch om een lijst op te stellen van van verdedigings- en mitigatiestappen die over een lange periode genomen moeten worden", aldus het Office of Information Security van het Amerikaanse ministerie van Volksgezondheid. Dat wijst naar een rapport van het Amerikaanse cyberagentschap CISA over de Godzilla webshell en maatregelen die in het algemeen tegen webshells genomen kunnen worden.

Reacties (1)
Gisteren, 18:55 door Anoniem
Eigenlijk weer een oude truc. Vroeger heette dat memory resident en de enige methode om de malware te verwijderen was het uitzetten van de client computer (en in het geval van een laptop de accu te verwijderen).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.