Microsoft heeft de afgelopen tijd veel aanvallen van hackers gezien die zogenoemde Web shells gebruikten. Het aantal aanvallen met Web shells tussen augustus 2020 en januari 2021 verdubbelde ten opzichte van dezelfde periode een jaar eerder.
Microsoft registreerde van augustus 2020 tot en met januari 2021 in totaal 144.000 aanvallen met Web shells. Web shells zijn hele lichte programma’s die hackers installeren om verder kwaadaardig te werk te gaan in getroffen websites. Een Web shell stelt hackers in staat om standaard commando’s uit te voeren op webservers als deze zijn gecompromitteerd. Web shells gebruiken hiervoor onder meer code als PHP, JSP of ASP.
Wanneer de Web shells succesvol zijn geïnstalleerd, zijn de hackers in staat om dezelfde opdrachten uit te voeren die de beheerders van de website kunne doen. Ook kunnen zij commando’s uitvoeren die data ontvreemdt, kwaadaardige code installeert en systeeminformatie levert die hackers in staat stelt dieper in netwerken door te dringen.
Lastig te ontdekken
Ook vormen Web shells een blijvende vorm van een ‘achterdeur’ die getroffen servers blijft treffen. Volgens de onderzoekers zijn Web shells moeilijk te ontdekken, onder meer doordat zij verschillende manieren hebben om commando’s uit te voeren. Hackers verbergen deze commando’s ook in user agent strings en parameters die worden uitgewisseld tussen aanvallers en de aangevallen websites. Verder kunnen Web shells worden opgestapeld in mediabestanden of andere niet-executabele bestandsformaten.
Tips voor bestrijden Web shell-aanvallen
Voor het bestrijden van aanvallen met Web shells komt Microsoft met een aantal mogelijke oplossingen. Denk hierbij onder meer aan het ontdekken van deze programma’s door het identificeren en oplossen van kwetsbaarheden en verkeerde configuraties in webapplicaties en webservers door de inzet van threat en vulnerability management.
Daarnaast kunnen aanvallen worden voorkomen door een goede segmentatie van het perimeternetwerk, zodat aangevallen webservers niet nog verdere schade in netwerken veroorzaken. Ook moeten bederijven antivirusbescherming installeren op webservers, bijvoorbeeld met cloudgebaseerde oplossingen.
Verder moeten bedrijven, volgens Microsoft, meer frequent de logs van hun webservers aan een audit onderwerpen en inzien. Hiermee krijgen zij dan ook meer awareness over welke systemen zij open hebben staan naar het internet.