Dieser Bericht bietet einen technischen Überblick über fünf bekannte Web-Shells: Alfa, Krypton, SharPyShell, ASPXSpy und TWOFACE. Es enthält Details zu den Funktionen der Web-Shells sowie zu host- und netzwerkbasierten Erkennungen. Dieser Bericht richtet sich an Sicherheitsexperten, die sich auf die Erkennungstechnik konzentrieren. Zu den Quellen gehören Recorded Future Platform ® , GreyNoise, Shodan und BinaryEdge.

Executive Summary

Web-Shells sind weit verbreitete und leistungsstarke Tools, die von Bedrohungsakteuren verwendet werden, um den Zugriff auf öffentliche Webserver aufrechtzuerhalten. Sie sind leichtgewichtig, enthalten manchmal nur vier Codezeilen und ermöglichen es Bedrohungsakteuren, sekundäre Nutzdaten auszuführen, Berechtigungen auszuweiten, Daten zu exfiltrieren und sich seitlich innerhalb des kompromittierten Netzwerks zu bewegen. Web-Shells bleiben häufig unentdeckt, da sie bei ihrer Nutzung nur einen geringen Platzbedarf hinterlassen, die Sichtbarkeit der öffentlichen Server eines Unternehmens eingeschränkt ist und sich der mit Web-Shells verbundene Netzwerkverkehr in die normale Aktivität des Webservers einfügen kann. Unsere Forschung bietet einen umfassenden Ansatz zur Erkennung von Web-Shells, indem wir Protokollanalyse, Netzwerkanalyse und Web-Shell-Scantechniken kombinieren. Wir konzentrieren uns auf eine Teilmenge von Web-Shells, die in letzter Zeit von staatlich geförderten und kriminellen Bedrohungsakteuren verwendet wurden: Alfa, SharPyShell, Krypton, ASPXSpy und TWOFACE. Unsere Methodik und Erkennung können intern von Verteidigern, aber auch von Sicherheitsforschern angewendet werden, die nach der Präsenz von Webshells auf nach außen gerichteten Servern suchen.

Wichtige Urteile

• Webshells werden auch weiterhin sowohl von APTs als auch von finanziell motivierten Bedrohungsakteuren eingesetzt, vor allem aufgrund ihrer Benutzerfreundlichkeit und der schwierigen Erkennung.
• Wir haben vier Techniken zum Erkennen von Web-Shells identifiziert, die zusammen verwendet werden können: YARA-Regeln, Sigma-Regeln, Netzwerkverkehrsmuster und internes/externes Scannen. Obwohl diese Methoden nicht narrensicher sind, bieten sie Verteidigern vielfältige Möglichkeiten, ihre Systeme nach Webshells zu suchen.
• Sicherheitsteams mit eingeschränkter Host- und Netzwerksichtbarkeit können mithilfe von HTTP-Scantechniken dennoch Webshells auf ihren Systemen erkennen.
• Solange es Bedrohungsakteuren gelingt, öffentlich zugängliche Server auszunutzen, werden sie weiterhin Web-Shells verwenden, um ihre Persistenz aufrechtzuerhalten und zusätzliche Funktionen bereitzustellen.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.