مایکروسافت شاهد یک جهش بزرگ در استفاده از پوسته های وب است


مایکروسافت شاهد یک جهش بزرگ در استفاده از پوسته های وب است

گتی ایماژ

پرسنل امنیتی مایکروسافت شاهد افزایش چشمگیری در استفاده از پوسته های وب ، برنامه های سبک وزن هستند که هکرها برای نفوذ بیشتر به وب سایت های در معرض خطر نصب می کنند.

متوسط ​​تعداد پوسته های وب نصب شده از آگوست 2020 تا ژانویه امسال 144000 بود ، تقریبا دو برابر بیشتر از ماه های مشابه در سال 2019 و 2020. این جهش نشان دهنده شتاب رشد است که سال گذشته همان محققان مایکروسافت مشاهده کردند.

مایکروسافت

چاقوی ارتش سوئیس برای هکرها

رشد نشانه ای از مفید و دشوار بودن این برنامه های ساده است. وب پوسته یک رابط است که به هکرها اجازه می دهد پس از به خطر افتادن سرورها ، دستورات استاندارد را بر روی سرورهای وب اجرا کنند. بسته بندی های وب با استفاده از زبان های برنامه نویسی تحت وب مانند PHP ، JSP یا ASP ساخته می شوند. رابط های دستور به روشی که مرورگرها کار می کنند عمل می کنند.

پس از نصب موفقیت آمیز ، وب بسته ها به هکرهای از راه دور اجازه می دهند بیشتر کارهایی را که مدیران قانونی می توانند انجام دهند ، انجام دهند. هکرها می توانند از آنها برای اجرای دستوراتی که داده ها را می دزدند ، کد مخربی را اجرا می کنند و اطلاعات سیستم را فراهم می کنند که به آنها امکان می دهد تا به سمت یک شبکه آسیب دیده حرکت کنند. برنامه ها همچنین می توانند ابزارهای دائمی دسترسی برگشتی را فراهم کنند ، که علی رغم اثربخشی آنها ، تشخیص آنها به طرز شگفت آوری دشوار است.

در یک پست وبلاگی که روز پنجشنبه ارسال شد ، اعضای تیم Microsoft Discovery and Response و تیم تحقیقاتی Microsoft 365 Defender Research نوشتند:

پوسته های وب پس از نصب بر روی سرور ، به عنوان یکی از م mostثرترین ابزارها برای پایداری شرکت به کار می روند. ما اغلب مواردی را می بینیم که از بسته بندی وب فقط به عنوان مکانیزمی برای دوام استفاده می شود. بسته بندی های وب اطمینان از وجود یک درب پشتی در یک شبکه آسیب دیده را دارند ، زیرا مهاجم پس از ایجاد پشتیبانی اولیه در یک سرور ، یک کاشت مخرب را ترک می کند. در صورت عدم شناسایی ، پوشه های وب راهی را برای مهاجمان فراهم می کنند تا به جمع آوری داده ها و کسب درآمد از شبکه هایی که به آنها دسترسی دارند ادامه دهند.

بازیابی سازش بدون یافتن و از بین بردن سازوکارهای استقامت مهاجمان ، نمی تواند موفقیت آمیز و پایدار باشد. و گرچه بازیابی یک سیستم در معرض خطر یک راه حل عالی است ، اما بازیابی دارایی های موجود تنها گزینه ممکن برای بسیاری است. بنابراین یافتن و از بین بردن تمام درهای عقب جنبه مهم بهبودی مصالحه است.

موارد

در اوایل ژوئیه سال گذشته ، چارچوب هکر Metasploit ماژولی را اضافه کرد که از یک آسیب پذیری مهم در کنترل کننده پیشرفته برای تحویل Big-IP استفاده می کند ، دستگاهی که توسط F5 ساخته می شود و معمولاً بین فایروال محیطی و یک برنامه وب برای مقابله با تعادل بار قرار می گیرد. و سایر وظایف یک روز بعد ، محققان مایکروسافت مشاهده کردند که هکرها از این سو the استفاده برای نصب پوسته های وب بر روی سرورهای آسیب پذیر استفاده می کنند.

در ابتدا ، هکرها از پوسته های وب برای نصب بدافزارهایی استفاده می کردند که از قدرت محاسباتی سرورها برای استخراج ارز رمزپایه استفاده می کردند. کمتر از یک هفته بعد ، محققان مشاهده کردند که هکرها از آسیب پذیری Big-IP برای نصب پوسته های وب بر روی طیف گسترده تری از برنامه های سرور متعلق به دولت ایالات متحده و صنعت خصوصی ، سو explo استفاده می کنند.

در مورد دیگری سال گذشته ، مایکروسافت گفت که پس از آنکه یک سازمان بخش دولتی کشف کرد که هکرها پوسته وب را در یکی از سرورهای هدف اینترنت خود نصب کرده اند ، به یک حادثه پاسخ داده است. محققان مایکروسافت نوشتند: “هکرها” یک پوسته وب را در چندین پوشه در وب سرور بارگذاری کردند که منجر به مصالحه بعدی در حساب های سرویس و حساب های مدیر دامنه شد. “این به مهاجمان اجازه می داد تا شناسایی کنند net.exe، با استفاده از سیستم های هدف اضافی را اسکن کنید nbtstat.exeو در نهایت با استفاده از PsExec به پهلو حرکت کنید. “

هکرها به نصب درب پشتی در سرور Outlook ادامه می دهند که همه ایمیل های ورودی و خروجی را رهگیری می کند ، اطلاعات اضافی را انجام می دهد و بارهای مخرب دیگر را بارگیری می کند. از جمله اینکه ، این هک به هکرها امکان ارسال ایمیل های ویژه را می دهد که درب پشتی از آنها به عنوان دستورات تعبیر می کند.

سوزن در انبار کاه

از آنجا که آنها از زبانهای استاندارد توسعه وب استفاده می کنند ، تشخیص بسته بندی های وب دشوار است. پوسته های وب علاوه بر دشواری ، ابزارهای زیادی برای اجرای دستورات دارند. مهاجمان همچنین می توانند دستوراتی را در داخل رشته ها و پارامترهای عامل کاربر که در هنگام تبادل بین مهاجم و وب سایت در معرض خطر منتقل می شوند ، مخفی کنند. به نظر می رسد که کافی نیست ، بسته بندی های وب می توانند در پرونده های رسانه ای یا سایر قالب های فایل غیرقابل اجرا پنهان شوند.

محققان مایکروسافت می نویسند: “هنگامی که این پرونده در یک ایستگاه کاری بارگیری و تجزیه و تحلیل می شود ، تصویر بی ضرر است.” “اما وقتی یک مرورگر وب این پرونده را از سرور درخواست می کند ، کد مخرب سمت سرور را اجرا می کند. این چالش ها در کشف پوسته های وب به محبوبیت فزاینده آنها به عنوان یک ابزار حمله کمک می کند. “

در پست پنجشنبه اقدامات مختلفی که مدیران می توانند برای جلوگیری از نفوذ پوسته های وب به سرور انجام دهند ، ذکر شده است. آنها عبارتند از:

  • آسیب پذیری ها یا پیکربندی های نادرست را در برنامه های وب و سرورهای وب شناسایی و رفع کنید. برای شناسایی و رفع این آسیب پذیری ها از مدیریت تهدید و آسیب پذیری استفاده کنید. جدیدترین به روزرسانیهای امنیتی را به محض دسترسی ارسال کنید.
  • تقسیم بندی مناسب شبکه پیرامونی خود را اعمال کنید تا وب سرور در معرض خطر شبکه شرکت را به خطر نیندازد.
  • محافظت از آنتی ویروس را در سرورهای وب فعال کنید. امنیت ارائه شده در ابر را روشن کنید تا آخرین محافظت در برابر تهدیدات جدید و جدید را بدست آورید. کاربران فقط باید بتوانند پرونده هایی را که می توانند توسط یک آنتی ویروس اسکن شده و پیکربندی شوند تا اسکریپت ها یا اجرای آنها توسط سرور اسکن شود ، در فهرست هایی بارگذاری کنند.
  • پرونده های گزارش از سرورهای وب را مرتباً بررسی و مشاهده کنید. از همه سیستم هایی که مستقیماً در اینترنت نمایش می دهید آگاه باشید.
  • برای جلوگیری از ارتباط بین سرورهای فرمان و کنترل بین نقاط انتهایی در صورت امکان ، محدود کردن ترافیک جانبی و سایر فعالیت های حمله ، از Firewall Windows Defender ، دستگاه های جلوگیری از نفوذ و فایروال شبکه خود استفاده کنید.
  • فایروال و پروکسی محیط خود را بررسی کنید تا دسترسی غیرضروری به سرویس ها ، از جمله دسترسی به سرویس ها از طریق پورت های غیر استاندارد را محدود کنید.
  • بهداشت را رعایت کنید. استفاده از حسابهای مدیر سطح محلی یا سطح دامنه را محدود کنید.

آژانس امنیت ملی ابزارهایی را در اینجا منتشر می کند که به مدیران کمک می کند پوسته های وب را در شبکه های خود شناسایی و حذف کنند.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>