Le nombre de coquilles Web malveillantes installées sur des serveurs Web a considérablement augmenté l’année dernière et entre août et janvier 2021, Microsoft a enregistré en moyenne 140000 rencontres de ces menaces chaque mois.
L’une des principales raisons pour lesquelles les web shells ont gagné en popularité parmi les cybercriminels est due à leur simplicité et leur efficacité. Pour ceux qui ne sont pas familiers, un shell Web est généralement un petit morceau de code malveillant écrit dans des langages de programmation de développement Web tels que ASP, PHP et JSP.
Les attaquants implantent ensuite ces web shells sur les serveurs pour fournir un accès à distance et l’exécution de code aux fonctions du serveur. À l’aide d’un shell Web, un attaquant peut exécuter des commandes sur un serveur compromis pour voler des données ou les utiliser comme rampe de lancement pour le vol, les mouvements latéraux, pour déployer des charges utiles supplémentaires ou pour une activité pratique au clavier tout en persistant dans le réseau d’une organisation ciblée.
Selon les dernières données de Microsoft 365 Defender, la moyenne mensuelle des rencontres avec le web shell a presque doublé en 2020 par rapport à la moyenne mensuelle de 77000 observées par le géant du logiciel en 2019.
Sommaire
Détecter les web shells
Dans chacun des langages de programmation utilisés pour créer des web shells, il existe plusieurs moyens d’exécuter des commandes arbitraires ainsi que plusieurs moyens pour une entrée arbitraire d’attaquant. Les attaquants peuvent également masquer les instructions dans la chaîne de l’agent utilisateur ou l’un des paramètres transmis lors d’un échange serveur / client Web.
Ce qui rend la détection des web shells particulièrement difficile, c’est le fait que le contexte de leur contenu n’est clair qu’après l’utilisation du shell. Un autre défi lors de la détection des shells Web est de découvrir l’intention des attaquants qui les ont créés car même un script qui semble inoffensif peut être malveillant en fonction de l’intention.
Les attaquants téléchargent également des fichiers d’entrée arbitraires dans le répertoire Web d’un serveur et, à partir de là, téléchargent un shell Web complet qui permet l’exécution de code arbitraire. Ces shells Web de téléchargement de fichiers sont simples, légers et souvent négligés car ils ne peuvent pas exécuter de commandes par eux-mêmes. Au lieu de cela, ils sont utilisés pour télécharger des fichiers tels que des interfaces Web complètes sur les serveurs Web d’une organisation.
Certains attaquants sont également connus pour cacher leurs interpréteurs de commandes Web dans des formats de fichiers non exécutables tels que des fichiers multimédias. Ces fichiers multimédias sont inoffensifs lorsqu’ils sont ouverts sur un ordinateur, mais lorsqu’un navigateur Web demande ce fichier à un serveur, un code malveillant est alors exécuté côté serveur.
Pour éviter d’être victime d’attaques via le shell Web, Microsoft recommande aux entreprises de corriger leurs systèmes publics, d’étendre la protection antivirus à leurs serveurs Web et d’auditer et de consulter fréquemment les journaux de leurs serveurs Web.
Via ZDNet
