Web Kabukları Gizlilik ve Kalıcılık Açısından Gelişmişlik Kazanıyor - Dünyadan Güncel Teknoloji Haberleri

Web Kabukları Gizlilik ve Kalıcılık Açısından Gelişmişlik Kazanıyor - Dünyadan Güncel Teknoloji Haberleri
Kötü amaçlı bir bağlantı yok, dolayısıyla sunucudan saldırgana anormal bağlantılar gitmiyor



siber-1

WSO-NG olarak bilinen bir Web kabuğunun yakın zamanda oturum açma sitesini 404 “Sayfa Bulunamadı” açılış sayfası olarak gizlediği, VirusTotal gibi yasal hizmetler aracılığıyla potansiyel hedefler hakkında bilgi topladığı ve bir yol olarak Amazon Web Hizmetleri ile ilgili meta verileri taradığı görüldü Web uygulaması güvenlik duvarları (WAF’ler), trafik akışlarına bakma yetenekleriyle aynı zamanda sağlam savunma önlemleridir ”

Akamai, büyük bir kampanyada kullanılmasının ardından WSO-NG’ye odaklandı Magento 2 e-ticaret mağazalarını hedefliyorancak diğer gruplar farklı Web kabukları kullanıyor “Bu, sunucudan saldırgana giden bağlantıyı yeniden açan klasik kötü amaçlı yazılımlara benzemiyor 22 Kasım’da yayınlanan bir analiz ”

Diğer yöntemler arasında, bir Web kabuğunun ilk erişimini ve dağıtımını tespit etmeye odaklanma yer alır Örneğin WSO-NG Web kabuğu GitHub’da mevcuttur Daha güncel veriler mevcut değildir

Zavodchik, “APT tehdit aktörleri özel olarak uyarlanmış ikili implantlardan Web kabuklarına (kendi Web kabukları veya bazı genel Web kabukları) geçtiklerinde, hiç kimse bu faktörleri belirli gruplara atfedemez” diyor

Akamai tehdit araştırma direktörü Maxim Zavodchik, saldırganların bulut kaynaklarını giderek daha fazla hedef alması nedeniyle, web kabuklarının ele geçirilen sunuculara komutlar vermenin kullanımı kolay bir yolu haline geldiğini söylüyor F5 Networks’ün kıdemli tehdit araştırmacısı Malcolm Heath, Web kabukları üzerine Haziran ayındaki bir yazısında, sunucuların bütünlüğünü doğrulamanın aynı zamanda önemli bir savunma taktiği olduğunu yazdı

“Günümüzde yalnızca API’lerin değil Web uygulamalarının da izin verdiği saldırı yüzeyi gerçekten çok büyük” diyor Diğer Web kabukları, Cl0p ve C3RB3R fidye yazılımı çeteleri tarafından konuşlandırıldı; ikincisi, Atlassian Confluence kurumsal sunucusunu çalıştıran sunucuları bu ayın başlarında toplu bir istismar kampanyasıyla istismar etti “Ek olarak, bazı savunma araçları anormal süreç oluşumunun tespit edilmesine olanak tanıyor

“Web kabukları, saldırganların verileri çalmak veya sunucuyu bir amaç olarak kullanmak için sunucularda komut çalıştırmasına olanak tanır Üstelik Akamai’den Zavodchik, Web kabuğu trafiğinin – yalnızca HTTP veya HTTPS olması nedeniyle – doğrudan karışarak trafik analiziyle tespit edilmesini zorlaştırdığını söylüyor Dosyaların ve kodun değiştirilmesi çok kolay olduğundan, web kabuklarının statik analiz teknikleriyle tespit edilmesi zordur ”

Ayrıca, çok sayıda kullanıma hazır Web kabuğu olduğundan, saldırganlar, savunmacılara kimlikleri konusunda ipucu vermeden bunları kullanabilirler Örneğin Cl0p fidye yazılımı grubu, 2020’de Kiteworks Accellion FTA’daki ve Mayıs ayında Progress Software’in MOVEit yönetilen dosya aktarım hizmetindeki güvenlik açıklarından yararlandıktan sonra sırasıyla DEWMODE ve LEMURLOOT Web kabuklarını düşürdü

Gizli ve Anonim

Saldırganların Web kabuklarını tercih etmelerinin bir nedeni de radar altında kalma yetenekleridir

Şirket, “Dizin içeriği izleme de iyi bir yaklaşımdır ve izlenen dizinlerdeki değişiklikleri anında tespit edebilen ve değişiklikleri otomatik olarak geri alabilen bazı programlar mevcuttur” dedi

“Aynı bağlantı noktalarında iletişim kuruyorlar ve bu, web sitesinin yalnızca başka bir sayfası” diyor Ve Kali Linux açık kaynaktır; kırmızı ekipler ve saldırı operasyonları için kullanımı kolay araçlar sağlamaya odaklanan bir Linux dağıtımıdır ve 14 farklı Web kabuğu sağlayarak penetrasyon testçilerine dosya yükleme ve indirme, komut yürütme ve veritabanları ve arşivler oluşturma ve sorgulama yeteneği verir bir analizde belirtilen

Şüpheli Dikkatle Savun

En iyi savunma, Web trafiğini şüpheli kalıplar, anormal URL parametreleri ve bilinmeyen URL’ler ve IP adresleri açısından izlemektir İnternet yönetim firması Akamai, geliştiricilerin kimlik bilgilerinin çalındığını belirtti Saldırgan yalnızca web sitesine göz atıyor



Uzmanlar, saldırganların bulut konusunda daha bilinçli hale gelmesiyle birlikte, güvenliği ihlal edilmiş bir sunucuya komutlar vermek için kullanımı kolay bir arayüz sağlayan, yaygın bir sömürü sonrası araç türü olan web kabuklarının giderek daha popüler hale geldiğini söylüyor [a] Microsoft, analizinde saldırganların etkilenen bir kuruluşta varlığını sürdürmesine izin verirken, kimlik bilgisi hırsızlığı, yanal hareket, ek yük dağıtımı veya klavye üzerinde uygulamalı etkinlik gibi diğer faaliyetler için fırlatma rampası olduğunu belirtti ağ şirketi F5 tarafından Haziran 2023’te yapılan bir analiz

Microsoft, 2021’de Web kabuklarının kullanımının önemli ölçüde arttığını ve şirketin izlenen sunucularda Web kabuklarıyla önceki yıla kıyasla neredeyse iki kat daha fazla karşılaştığını kaydetti “Dolayısıyla, bir Web güvenlik açığından yararlanırken, bir sonraki en kolay adım bir Web platformu kurmak olacaktır; bir implant, ikili olmayan ancak Web sunucusuyla aynı dili konuşan bir şey