وب شل WEB Shell چیست؟ درک ابزارها و تکنیکهای هکرها
وب شل (WEB Shell) چیست؟
وب شل WEB Shell قطعهای از کد است که وقتی روی سرور وب اجرا میشود به هکر ها اجازه دسترسی به سیستم فایل یا ترمینال سرور را برای اجرای دستورات از راه دور را میدهد.
هکرها از آسیبپذیریهای کد وبسایت سوء استفاده میکنند تا اسکریپت های مخرب خود را روی سرور قرار دهند و دسترسی دائمی خود به سرور فوق را بدست بیاورند.
یک وب شل می تواند به هر زبان برنامه نویسی که روی سرور پشتیبانی می شود برنامه ریزی شود. با این حال، رایج ترین زبان ها PHP، Python، Ruby، ASP، Perl و Bash هستند.
Web Shell ها چگونه اجرا می شوند؟
طیف گسترده ای از آسیب پذیری ها برای نصب وب شلها مورد سوء استفاده قرار می گیرند. رایج ترین راه های آلوده کردن وب سرورها عبارتند از:
- SQL injection: یک نوع حمله که از کد SQL مخرب برای دستکاری پایگاه داده برای دسترسی به اطلاعات محرمانه استفاده می کند.
- بهره برداری از پیکربندی نادرست ویژگی های مدیریتی و کنترلی سرور
- Cross-Site Scripting (XSS): وب سایتهای آسیب پذیر را دستکاری می کند تا اسکریپت های مخرب را با کاربران به اشتراک بگذارد. هنگامی که این اسکریپت ها اجرا می شوند، می توانند ارتباط بین کاربر و برنامه تحت وب را به خطر بیندازند.
- آسیبپذیریهای پردازش و آپلود فایل: مهاجمان میتوانند فایل مخربی را آپلود کنند که شامل یک وب شل است که میتواند روی سرور اجرا شود.
- آسیب پذیری های اجرای کد از راه دور
- آسیبپذیریهای Local and Remote File Inclusion (LFI, RFI): زمانی ایجاد میشوند که یک برنامه وب به کاربر اجازه میدهد فایلهای ورودی را در سرور آپلود کند. در LFI، فایل در ماشین محلی قابل دسترسی است در حالی که RFI به هکر اجازه می دهد بدافزار را از راه دور اجرا کند.
- آسیب پذیری در برنامه های وب و سرویسها
وب شل ها ممکن است پیچیدگی بیشتری داشته باشند و ویژگی ها جلوگیری از تشخیص (با استفاده از رمزگذاری) را نیز داشته باشند. هنگامی که یک وب شل روی سرور وب نصب می شود، می توان از آن برای انجام فعالیت های مخرب استفاده کرد، مانند سرقت داده های حساس، شروع حملات بعدی و حفظ دسترسی مداوم به سرور.
نقش Web Shell ها در حملات سایبری
وب شلها یکی از کارآمدترین راه ها در حملات سایبری هستند، به همین دلیل معمولاً از آنها استفاده می شود. در سالهای اخیر، وب شل ها یکی از انواع بدافزارهایی هستند که بیشترین شناسایی را دارند.
برای انجام یک حمله، عامل تهدید باید یک سیستم هدف را پیدا کند که حاوی آسیبپذیری باشد. هنگامی که یک وب شل نصب می شود، مهاجمان می توانند از آن برای انجام انواع فعالیت های مخرب استفاده کنند، سطح دسترسی خود را در سیستم هدف افزایش دهند و دسترسی دائمی به سرور را حفظ کنند، حتی اگر آسیب پذیری اولیه ای که به آنها اجازه نصب وب شل را می دهد وصله شده باشد.
وب شل ها اغلب همراه با سایر تکنیک های حمله، مانند فیشینگ، برای دسترسی اولیه به یک سیستم هدف استفاده می شوند. هنگامی که دسترسی به دست آمد، وب شل می تواند به عنوان نقطه اصلی برای ارسال دستورات به میزبان های واقع در داخل شبکه عمل کند. همچنین می تواند به عنوان یک سرور فرمان و کنترل (C&C)برای بات نت ها یا شبکه های دیگر استفاده شود.
مجرمان سایبری از وب شل برای سناریوهای مختلف حمله استفاده می کنند:
- استخراج و جمع آوری داده ها و اعتبارنامه های حساس
- نصب بدافزاری که می تواند مسیری برای آلودگی بیشتر ایجاد کند
- تخریب وب سایت ها
- هدایت ترافیک به سایت ها دیگر
- قرار دادن لینک به سایت های دیگر برای داشتن SEO بهتر و اهداف دیگر
- استفاده از اسکریپت ها برای استخراج رمز ارز در دستگاه های کاربرانی که از وب سایت بازدید می کنند یا استخراج کریپتو در سرور میزبان
- هدایت کاربران به کیت های اکسپلویت ویژه برای آلوده کردن رایانه آنها
- تزریق جاوا اسکریپت sniffers (JS sniffers) به درگاه پرداخت به منظور جمع آوری اطلاعات پرداختی که کاربر وارد می کند.
- تامین کننده اصلی وب شل در دارک وب بازاری به نام MagBo است.
Web Shell را چگونه شناسایی کنیم؟
شناسایی وب شلها دشوار است زیرا میتوانند در فایلهای معمولی مانند فایلهای رسانهای، ویدیوها، فایلهای صوتی و غیره پنهان شوند، که در صورت درخواست از یک مرورگر وب، اجرا میشوند. پیدا کردن وب شلها عمدتا از راههای زیر انجام می شود:
تجزیه و تحلیل فایل ها و ارتباطات شبکه: Web Shell ها معمولاً به عنوان فایل روی سرور آپلود می شوند. با نظارت بر آپلود فایل ها و تغییرات روی سرور، تیم های امنیتی می توانند وجود پوسته های وب را تشخیص دهند. به طور مشابه، نظارت شبکه می تواند فعالیت وب شل را با تجزیه و تحلیل ترافیک شبکه برای رفتارهای غیرعادی، مانند اتصالات خارجی مشکوک و درخواست های مکرر، شناسایی کند.
تجزیه و تحلیل لاگ: لاگ های وب سرور میتوانند اطلاعاتی در مورد فعالیت پوسته وب برای کمک به شناسایی و از بین بردن نفوذهای شبکه ارائه دهند. لاگهای وب سرور میتوانند به شناسایی آدرسهای IP مورد استفاده برای دسترسی به سرور و دستورات اجرا شده توسط مهاجم کمک کنند و مسیرهایی را در مورد TTPها و انگیزههای مهاجم ارائه دهند.
تجزیه و تحلیل خودکار محتوا: یک سیستم خودکار به محتویات فایل های تازه آپلود شده یا تغییر یافته نگاه می کند و بررسی می کند که آیا آنها با وب شل های موجود مطابقت دارند یا خیر؟
تطبیق الگو: این تکنیک برای اسکن قطعات کدی که با الگوی آشنای استفاده شده در پوسته وب مطابقت دارند استفاده می شود. با این حال، این روش چندان مؤثری نیست زیرا مجرمان سایبری از این تکنیک آگاه هستند و می توانند با تولید کدهای پیچیده آن را دور بزنند.
استفاده از EDR: وب شل ها باعث می شوند که وب سرور ناهنجاری های رفتاری را نشان دهد. EDR میتواند به شناسایی وب شل ها بر اساس رفتار سیستم و ناهنجاریهای مشاهده شده کمک کند.
چگونه جلوی وب شلها را بگیریم؟
در اینجا چند توصیه مشخص برای کاهش خطر توسط کارشناسان امنیت سایبری ما آورده شده است:
- به طور منظم برنامه ها و سیستم عامل سرور میزبان را برای اطمینان از مصونیت از اشکالات شناخته شده بهروز کنید
- یک منطقه غیرنظامی (DMZ) بین سرورهای تحت وب و شبکه های داخلی مستقر کنید
- پیکربندی امن وب سرور را به صورت کامل انجام دهید
- پورت ها و سرویس هایی که استفاده نمی شوند را ببندید یا مسدود کنید
- از اعتبارسنجی داده های ورودی کاربر برای محدود کردن آسیب پذیری های گنجاندن فایل های محلی و راه دور استفاده کنید
- از یک سرویس پروکسی معکوس (Reverse Proxy) برای محدود کردن URL های ارسالی به آدرس های داخلی شناخته شده استفاده کنید
- اسکنهای آسیبپذیری مکرر را برای شناسایی مناطق پرخطر و انجام اسکنهای منظم با استفاده از نرمافزار امنیتی وب (این امر از حملات روز صفر جلوگیری نمیکند) انجام دهید.
- یک فایروال وب (WAF) مستقر کنید
- غیرفعال کردن مرور دایرکتوری (directory browsing)
- از استفاده از رمزهای عبور پیش فرض خودداری کنید
به طور کلی، شناسایی و کاهش حملات Web Shell نیازمند یک رویکرد جامع است که شامل نظارت بر شبکه، تجزیه و تحلیل رفتاری و اطلاعات تهدید میشود. اطلاعات تهدید سایبری به سازمانها کمک میکند تا اطلاعات مربوط به پوستههای وب شناخته شده قبلی و ویژگیهای آنها را کسب کنند. این می تواند تیم ها را برای ردیابی وب شل ها و مهار آسیب راهنمایی کند.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.