Компания Microsoft предупредила об увеличении количества кибератак с использованием web-оболочек. По сравнению с прошлым годом среднемесячное число обнаруживаемых на скомпрометированных серверах вредоносных web-оболочек удвоилось.

«Как показывают последние данные Microsoft 365 Defender, эта тенденция не только продолжилась, но и усилилась: каждый месяц с августа 2020 года по январь 2021 года мы регистрировали в среднем 140 тыс. обнаружений этих угроз на серверах», — сообщила Microsoft.

Согласно отчету Microsoft Defender Advanced Threat Protection (ATP) за прошлый год, по данным, собранным с 46 тыс. отдельных устройств, среднее число обнаруживаемых на взломанных серверах web-оболочек составляло 77 тыс. в месяц.

Рост количества кибератак с применением web-оболочек Microsoft объясняет тем, что они очень просты в использовании и эффективны. Обычно web-оболочка представляет собой небольшой фрагмент вредоносного кода, написанный на типичных языках программирования для web-разработки (например, ASP, PHP, JSP). Киберпреступники внедряют их на web-серверы, тем самым обеспечивая себе удаленный доступ к этим серверам для дальнейшего выполнения кода.

Web-оболочки позволяют злоумышленникам запускать команды на серверах для кражи данных или использовать сервер в качестве стартовой площадки для других действий, таких как боковое перемещение, развертывание дополнительных полезных нагрузок или действия с клавиатурой.

Злоумышленники устанавливают web-оболочки на серверы путем эксплуатации уязвимостей в web-приложениях и подключенных к интернету серверах. В поисках уязвимых установок они сканируют интернет с помощью общедоступных инструментов, таких как shodan.io. Зачастую злоумышленники эксплуатируют уже исправленные вендором уязвимости, которые, к сожалению, не были исправлены системными администраторами.

После установки на сервер web-оболочки служат одним из наиболее эффективных средств сохранения персистентности в атакуемых корпоративных сетях.

«Мы часто наблюдаем случаи, когда web-оболочки используются исключительно как механизм сохранения персистентности. Web-оболочки обеспечивают бэкдор в скомпрометированной сети, поскольку после получения первоначального доступа к серверу злоумышленник оставляет на нем вредоносный имплант. Если его не обнаружить, web-оболочки предоставляют злоумышленнику возможность продолжать собирать данные и монетизировать сети, к которым у них есть доступ». – сообщает Microsoft.

Источник: securitylab.ru