L’ancien est nouveau, car les logiciels malveillants du shell Web deviennent le nouveau vecteur d’attaque des exploits Exchange répandus. Voici une introduction à ce que sont les shells Web et à ce qu’ils font.

(Image: nekrasov50 via Adobe Stock)

(Image: nekrasov50 via Adobe Stock)

Connu sous le nom de China Chopper, les logiciels malveillants sont à l’origine des dernières attaques qui font la une des journaux sur les serveurs Microsoft Exchange vulnérables dans le monde entier. China Copper est un type de logiciel malveillant connu sous le nom de shell web, et il a joué un rôle cohérent dans les schémas d’attaque que les analystes ont observés au cours des dernières semaines.

Dans ces attaques, les vulnérabilités zero-day sont exploitées par le groupe de piratage chinois Hafnium. De nombreux serveurs dans leur réticule ont reçu des charges utiles de shell Web malveillantes. Ces shells Web peuvent plus tard être utilisés comme porte dérobée, et les pirates peuvent toujours accéder aux serveurs Exchange après l’application des correctifs.

«Les attaquants adorent configurer et utiliser des web shells auxquels ils peuvent accéder plus tard, car les web shells leur donnent la maniabilité de faire évoluer leurs attaques au fil du temps plutôt que d’implanter un élément spécifique de malware à l’avance qui n’est pas si flexible», déclare Chester Wisniewski, un scientifique senior chez Sophos. « Avec les interpréteurs de commandes Web, un attaquant distant peut télécharger n’importe quel fichier auquel le serveur Web a accès, implanter de nouveaux fichiers et exécuter le code de son choix. »

Les shells Web ne sont ni nouveaux ni nouveaux, mais ils affectent une grande variété d’attaques Exchange. Considérez cet article comme votre introduction au shell Web, accompagné des meilleures pratiques pour vous en protéger.

Qu’est-ce qu’un shell Web?
Un shell web est un fichier de script malveillant qui est installé sur un serveur web et qui offre à l’attaquant des fonctions de lecture, d’écriture et / ou d’exécution, explique Matthieu Faou, chercheur malware chez ESET.

«Ils peuvent être développés dans plusieurs langages comme PHP, ASP ou .NET», dit-il.

Et cela signifie qu’ils peuvent être configurés pour recevoir des instructions, tout comme un programme légitime, ajoute Wisniewski.

«Les langages informatiques et les systèmes d’exploitation incluent toujours un environnement d’exécution de commandes de texte dans lequel les utilisateurs peuvent dire« manuellement »à l’ordinateur ce qu’il doit faire, ce qui s’appelle un shell», dit-il. «Les utilisateurs de Windows peuvent être familiarisés avec ‘Invite de commandes’ ou DOS s’ils sont suffisamment âgés. Les utilisateurs de MacOS et Linux utilisent généralement un shell appelé ‘bash’. Un shell Web est simplement un programme qui s’exécute sur le serveur Web et fournit une commande à distance équivalente accès via un navigateur. « 

Qu’est-ce qu’un scénario d’attaque typique utilisant un shell Web?
Toute attaque qui commence par un compromis de serveur Web est un scénario typique d’attaque de shell Web, dit Faou.

«Il pourrait s’agir d’une vulnérabilité dans une application Web qui pourrait permettre à l’attaquant de télécharger un fichier de script sur le serveur», dit-il. « Si ce fichier de script est placé dans un répertoire accessible via Internet, l’attaquant pourrait utiliser le shell Web pour exécuter des commandes supplémentaires. »

Comment les attaquants obtiennent-ils des web shells dans un environnement?
Le plus souvent, les coques Web sont «implantées» dans une application Web via une vulnérabilité, explique Wisniewski.

«La grande majorité des shells Web que j’ai découverts étaient installés sur des serveurs obsolètes exécutant des logiciels CMS comme WordPress et Drupal», explique-t-il.

Comment les web shells sont-ils utilisés dans les attaques Exchange dont nous entendons parler actuellement?
Lors des récentes attaques sur les serveurs Microsoft Exchange, les attaquants ont utilisé une vulnérabilité d’exécution de code à distance dans Microsoft Exchange Outlook Web Access pour installer des interpréteurs de commandes Web. Le Vuln vous permet de mettre un shell Web sur le serveur de messagerie.

«Ensuite, ils peuvent accéder à l’URL où se trouve le shell Web pour exécuter des commandes ou pour placer des fichiers malveillants supplémentaires», explique Faou.

Les shells Web peuvent être utilisés pour diffuser et exécuter du contenu malveillant. Réécrivez les scripts, les journaux ou les fichiers. ou générer de faux messages, du contenu malveillant ou des liens malveillants. C’est un moyen facile pour les escrocs qui écrivent des fichiers sur un serveur Web mais ne peuvent pas les exécuter directement pour les démarrer indirectement, dit Wisniewski.

« Si un attaquant peut infiltrer un fichier avec une extension scriptable au bon endroit sur un serveur Web, il peut ultérieurement y accéder à nouveau et forcer le fichier à s’exécuter sur le serveur en pointant simplement vers l’URL qui correspond au fichier infiltré », a déclaré il dit. « Le navigateur agit essentiellement comme une sorte de ‘console de commande’ qui oblige le serveur à exécuter le code de script. »

Y a-t-il quelque chose de nouveau dans les shells Web dans les attaques Exchange?
Les chercheurs à qui nous avons parlé disent que les coques Web utilisées dans ces attaques n’ont vraiment rien d’inhabituel. C’est un programme plus ancien qui a refait surface

«Un shell Web est un shell Web», explique Wisniewski. « Le problème maintenant est que d’autres criminels vous connaissent et vous exploitent aussi. Si votre adversaire était vraiment la Chine qui essayait d’attaquer votre organisation, il peut être difficile de trouver le signal dans le bruit. »

Comment les défenseurs peuvent-ils se protéger contre les web shells?
Pour maintenir les défenses contre les coques Web à un niveau élevé, les recommandations d’hygiène habituelles sont nécessaires: Gardez les applications Web à jour, dit Faou. Testez régulièrement des applications Web personnalisées pour vous assurer qu’elles ne présentent aucun bogue pouvant être exploité. Surveillez les serveurs Web et activez les avertissements lorsqu’un nouveau script du serveur Web (par exemple Apache ou Microsoft IIS) est stocké sur le disque dur.

«Un nouveau script qui est supprimé du serveur Web est très suspect et probablement un shell Web», déclare Faou.

Dans ce scénario d’attaque Exchange particulier, Wisniewski recommande d’appliquer des correctifs à tous les serveurs Microsoft Exchange locaux de l’environnement et de surveiller en permanence les réseaux à la recherche de signes de compromission.

«Outre cette vulnérabilité, il est important de maintenir à tout moment les correctifs de vos applications, en particulier le CMS», dit-il.

Quelle est la prochaine étape pour les Web Shells?
Faou dit qu’il ne s’attend pas à grand chose à changer. Pendant des années, les interpréteurs de commandes Web ont été la première méthode utilisée par les attaquants pour exploiter des serveurs Web vulnérables. En raison du succès récent que les criminels ont eu avec eux, ils continueront d’être une technique populaire.

«La récente campagne Exchange n’est qu’un événement ponctuel», dit-il. « Des vulnérabilités sont découvertes très régulièrement dans d’autres applications Web. »

Joan Goodchild est une journaliste, rédactrice et écrivaine chevronnée qui se concentre sur la sécurité depuis plus d’une décennie. Elle a écrit pour plusieurs publications et était auparavant rédactrice en chef de CSO Online. Voir la bio complète

Littérature recommandée:

Plus d’informations





Source link

Recent Posts