امنیت

اینترنت و شبکه

فناوری اطلاعات

February 16, 2021
14:52 سه شنبه، 28ام بهمنماه 1399
کد خبر: 121160

افزایش چشم‌گیر تهدیدات Web Shell

 
 
مهاجمان سایبری تهدیدات موسوم به Web Shell را حدود دو برابر افزایش داده‌اند.
 
به گزارش مرکز مدیریت راهبردی افتا، از اصلی‌ترین دلایل استقبال مهاجمان از Web Shell، سادگی و در عین حال نقش مؤثر و کلیدی آن در اجرای موفق یک حمله سایبری است.
 
در فاصله آگوست ۲۰۲۰ تا ژانویه ۲۰۲۱، مایکروسافت ماهانه حدود ۱۴۰ هزار Web Shell را شناسایی کرده است که در مقایسه با میانگین ۷۷ هزار مورد دوره قبل از آن، حدود دو برابر افزایش داشته است.
 
مهاجمان با استفاده از این تکنیک و با بهره‌جویی (Exploit) از ضعف‌های امنیتی ، فرامین مختلفی را  بر روی سرور آلوده با اهدافی همچون سرقت داده‌ها، رخنه به شبکه سازمان یا توزیع بدافزارهای دیگر، اجرا می‌کنند.
 
همچنین مهاجم سایبری،  می‌تواند دستورات خود را در یک رشته به اصطلاح User Agent یا پارامترهای رد و بدل شده در جریان تبادل سرویس‌دهنده و سرویس‌گیرنده (Server/Client) مخفی کند.
 
مهاجمان سایبری،  با ترکیب این روش‌ها یک Web Shell چندبایتی، اما مخرب را تولید می‌کنند اما در بسیاری موارد تا زمانی که مهاجمان از  Shell استفاده نکنند، محتوای واقعی آن مشخص نمی‌شود.
 
تهدیدWeb Shell  مجموعه کد کوچکی است که با زبان‌های اسکریپت‌نویسی متداولی نظیر ASP، PHP یا JSP نوشته شده و مهاجمان با تزریق آنها در سرورهای وب (Web Server)، بستر را برای کنترل از راه دور سرور و اجرای کدهای بالقوه مخرب بر روی آنها فراهم می‌کنند.
 
مختصر بودن کدهای Web Shell و سادگی جاسازی آنها در میان کدهای معتبر، شناسایی آنها را به کاری پرچالش تبدیل کرده است.
 
تکنیک Web Shell  می‌تواند با هر یک از زبان‌های رایج ساخت برنامه‌های وب، برنامه‌نویسی شود. در هر زبان، روش‌های متعددی برای نوشتن کدی فراهم است، که وظیفه آن دریافت فرامین دلخواه مهاجم و اجرای آنهاست.
 
عواقب راهیابی Web Shell به یک سرور وب، می‌تواند تبعات بسیار جدی و گاه جبران‌ناپذیری را متوجه سازمان کند؛ بنابراین با توجه به گسترش رایانش ابری و الکترونیکی شدن خدمات، لازم است تا مسئولان امنیت سازمان‌ها به ملاحظات امنیتی سرورها،  بیش از قبل توجه کنند.
 
کارشناسان مرکز مدیریت راهبردی افتا از همه کارشناسان IT سازمانها و زیرساخت‌ها می خواهند تا برای مقاوم‌‌سازی سرورهای وب در برابر تهدیدات Web Shell ، اصلاحیه‌های امنیتی را  بر روی سامانه‌های قابل دسترس بر روی اینترنت، بطور کامل نصب و از عدم آسیب‌پذیر بودن برنامه‌های بر روی آنها، اطمینان حاصل کنند.
 
برای محدودسازی تبعات ناشی از یک سرور آلوده لازم است تا شبکه هر زیر ساخت تقسیم بندی  (Network Segmentation) شود  و حتما از ضدویروس به‌روزشده استفاده کنند.
 
 از آنجا که سامانه‌های قابل دسترس بر روی اینترنت، بیش از سایرین در معرض پویش و حمله واقع می‌شوند، ضروری است در اولین فرصت، لاگ‌های سرورهای وب، ممیزی و مرور مستمر شوند.
 
به گفته کارشناسان مرکز مدیریت راهبردی افتا، لازم است تا متخصصانIT دستگاه‌های زیر ساختی، برای جلوگیری از برقراری ارتباطات با سرور فرماندهی  (C2)  در میان نقاط پایانی،  دیواره آتش و نفوذیاب را بطور صحیح پیکربندی کرده و دامنه نفوذ و سایر فعالیت‌های مخرب را محدود و مسدود کنند.
 
  به حداقل رساندن سطح دسترسی حساب‌های کاربری و تا حد امکان پرهیز از بکارگیری از حساب‌های کاربری محلی (Local) و تحت دامنه (Domain) با سطح Administrator از دیگر راهکارهای لازم برای جلوگیری از راهیابی Web Shell به یک سرور وب است.
 
  کارشناسان مرکز مدیریت راهبردی افتا، رصد لاگ‌های دیواره‌های آتش و پراکسی‌ها را برای شناسایی دسترسی‌های غیرضروری به سرویس‌ها و درگاه‌ها،  از دیگر راه‌های مقاومت در برابر تهدیدات Web Shell عنوان می‌کنند.
 
مرکز مدیریت راهبردی افتا، اطلاعات فنی تکنیک Web Shell و حمله مهاجمن سایبری از این طریق به سرورهای وب را در لینک  https://www.afta.gov.ir/portal/home/?news/235046/237266/242799 منتشر کرده است.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.