VS waarschuwt voor 'cyberincidenten' door webshells
Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) heeft organisaties gewaarschuwd voor 'cyberincidenten' die door webshells worden veroorzaakt. Een webshell is een script dat een aanvaller op een webserver plaatst, zodat hij de machine op afstand kan besturen.
Via de geïnfecteerde webserver kan vervolgens worden geprobeerd om systemen op het interne netwerk van een organisatie aan te vallen. Het gebruik van webshells door Advanced Persistent Threat (APT) en criminele groepen heeft tot grote cyberincidenten geleid, aldus het US-CERT. Webshells kunnen in verschillende talen worden geschreven, zoals PHP en ASP. Perl, Ruby, Python en Unix shellscripts worden ook gebruikt.
Om de webshell te installeren moet een aanvaller eerst al aanwezige kwetsbaarheden vinden, bijvoorbeeld in het contentmanagementsysteem (CMS) of de webserversoftware. Zodra de webshell is geupload kan die voor verschillende doeleinden worden gebruikt, zoals het stelen van inloggegevens, het installeren van aanvullende malware, als communicatiekanaal om systemen op interne netwerken te besturen die niet op internet zijn aangesloten en als command & control-infrastructuur, bijvoorbeeld in de vorm van een botnet.
Om installatie van een webshell te voorkomen adviseert het US-CERT om applicaties en besturingssysteem up-to-date te houden, verminderde rechten op de webserver te gebruiken, een demilitarized zone (DMZ) tussen het bedrijfsnetwerk en online systemen toe te passen, een reverse proxy te gebruiken, systemen en applicaties op kwetsbaarheden te scannen en gebruikersinvoer te valideren.
Het mag dan wel een targeted attack zijn, maar de techniek is simpel, shells zijn dus geen APT.
* https://www.google.com/?gws_rd=ssl#q=C99+shell
Het mag dan wel een targeted attack zijn, maar de techniek is simpel, shells zijn dus geen APT.
* https://www.google.com/?gws_rd=ssl#q=C99+shell
Webshells mogen dan oud zijn, maar ik ben het niet eens met je uitspraak over dat ze geen APT zijn. Ze kunnen weldegelijk onderdeel van een APT zijn. Mede doordat ze voor een specifieke omgeving geschreven kunnen zijn, waar een kwaadwillende toegang tot wil verkrijgen. Dit kan zelfs een interne bedrijfsapplicatie zijn. Als je kijkt naar een voorbeeld als de Carbanak hack, is dat echt niet iets geks.
Het mag dan wel een targeted attack zijn, maar de techniek is simpel, shells zijn dus geen APT.
* https://www.google.com/?gws_rd=ssl#q=C99+shell
Webshells mogen dan oud zijn, maar ik ben het niet eens met je uitspraak over dat ze geen APT zijn. Ze kunnen weldegelijk onderdeel van een APT zijn. Mede doordat ze voor een specifieke omgeving geschreven kunnen zijn, waar een kwaadwillende toegang tot wil verkrijgen. Dit kan zelfs een interne bedrijfsapplicatie zijn. Als je kijkt naar een voorbeeld als de Carbanak hack, is dat echt niet iets geks.
APT heeft het woordje "advanced" in zich. Een "webshell" is niet advanced. Ze kunnen worden gebruikt in een targeted attack, maar het is daarmee niet advanced. Het is een standaard interactieve tool voor aanvallers, met name veel gebruikt door script kiddies om hun malware en phishing kits te uploaden naar een gehackte server.
Een webshell heeft de genoemde interactieve basisfuncties. Als er een script voor een bepaald doel is geschreven, is het waarschijnlijk geen webshell. Het is een webapplicatie, in deze context malware. Een willekeurig kwaadaardig script dat draait op een web server noem je daarom geen webshell.
Het mag dan wel een targeted attack zijn, maar de techniek is simpel, shells zijn dus geen APT.
* https://www.google.com/?gws_rd=ssl#q=C99+shell
Gezien de animatie gif ook weer terug komt (20+ jaar oud https://en.wikipedia.org/wiki/GIF#Animated_GIF ), verbaast mij het ook niet dat zulke scripts (bijna 20 jaar oud) weer terug komen. Iets met nieuwe generatie. Deze lijkt elke 20 jaar het internet opnieuw uit te vinden...
TheYOSH
Het mag dan wel een targeted attack zijn, maar de techniek is simpel, shells zijn dus geen APT.
Of iets een APT is, wordt niet enkel bepaald door een van de gebruikte tools. Wat nou indien ze bijvoorbeeld 0day's gebruiken om de systemen te hacken, alvorens ze die webshells op de systemen plaatsen, om maar wat te noemen ? En vanaf deze systemen vervolgens allerlij andere interne hosts overnemen met behulp van zelf geschreven exploits, en grote hoeveelheden data exfiltreren ?
Verder is ook bij APT's het gebruik van geavanceerde tools zeer zeker geen doel op zichzelf. Waarom moeilijk doen, wanneer het makkelijk kan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.