image

Microsoft meldt toename van webservers besmet met webshells

vrijdag 12 februari 2021, 09:28 door Redactie, 12 reacties

De afgelopen zes maanden is het aantal webservers besmet met webshells bijna verdubbeld ten opzichte van dezelfde periode een jaar eerder, zo stelt Microsoft op basis van eigen onderzoek. Van augustus 2019 tot en met januari 2020 detecteerde het techbedrijf gemiddeld 77.000 webshells per maand. Voor de afgelopen zes maanden staat de teller op een gemiddelde van 140.000 webshells per maand.

Een webshell is een script dat aanvallers op webservers plaatsen. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. Vaak worden webshells voor verdere aanvallen ingezet. Om de webshell te kunnen installeren moet een aanvaller wel eerst toegang tot de webserver krijgen. Volgens Microsoft gebeurt dit vaak via kwetsbaarheden in webapplicaties en de servers zelf.

"Eenmaal geïnstalleerd op een server zijn webshells één van de meest doeltreffende manieren om toegang tot een onderneming te behouden", aldus Microsoft. Daarnaast kunnen ze lastig te detecteren zijn. Webapplicaties ondersteunen vaak een groot aantal talen en frameworks waar aanvallers misbruik van maken. De hoeveelheid verkeer en ruis door continue aanvallen zorgt er daarnaast voor dat het verkeer naar de webshell niet opvalt.

Om webshells buiten de deur te houden geeft Microsoft verschillende adviezen, zoals het meteen installeren van beveiligingsupdates als die uitkomen, het toepassen van netwerksegmentatie, auditen van webserverlogs, gebruik van antivirussoftware, het blokkeren van onnodige toegang tot services via de firewall en het beperken van het gebruik van accounts met lokale beheerder- of domeinbeheerderrechten.

Image

Reacties (12)
12-02-2021, 09:56 door Anoniem
Microsoft plugt in haar advisory Windows Defender, maar die detecteert alleen kant-en-klare scripts.

Beter is het om besmetting (of code change) te ontdekken via:
- web source-code met tripwire detectie.
- web source-code onder version control.

Dit kan geautomatiseerd, waarbij de admin een mail ontvangt.
12-02-2021, 12:07 door walmare
Hoe weet Microsoft dit. Is windows spyware? en waarom wisten ze dit dan weer niet:? : https://www.security.nl/posting/689928/Zerodaylek+in+Windows+10+werd+maandenlang+door+aanvallers+gebruikt
12-02-2021, 13:47 door _R0N_
Door walmare: Hoe weet Microsoft dit. Is windows spyware? en waarom wisten ze dit dan weer niet:? : https://www.security.nl/posting/689928/Zerodaylek+in+Windows+10+werd+maandenlang+door+aanvallers+gebruikt

Net als dat ESET, McAfee, Kaspersky etc met dit soort adviezen komen.
Microsoft doet meer dan Windows.
12-02-2021, 14:12 door Anoniem
Door _R0N_:
Door walmare: Hoe weet Microsoft dit. Is windows spyware? en waarom wisten ze dit dan weer niet:? : https://www.security.nl/posting/689928/Zerodaylek+in+Windows+10+werd+maandenlang+door+aanvallers+gebruikt

Net als dat ESET, McAfee, Kaspersky etc met dit soort adviezen komen.
Microsoft doet meer dan Windows.
Het is geen advies van microsoft maar een ontdekking. Je weet het dus niet.
12-02-2021, 18:46 door Anoniem
Door walmare: Hoe weet Microsoft dit. Is windows spyware?
ATP? Gewoon scannen? Servers die ze beheren?

en waarom wisten ze dit dan weer niet:? : https://www.security.nl/posting/689928/Zerodaylek+in+Windows+10+werd+maandenlang+door+aanvallers+gebruikt
Whataboutism
12-02-2021, 19:21 door karma4
Door Anoniem: Microsoft plugt in haar advisory Windows Defender, maar die detecteert alleen kant-en-klare scripts.

Beter is het om besmetting (of code change) te ontdekken via:
- web source-code met tripwire detectie.
- web source-code onder version control.

Dit kan geautomatiseerd, waarbij de admin een mail ontvangt.
Als dat beter is, waarom wordt er aan de endpoints een toename geconstateerd? Het wordt kennelijk gemist aan de server kant. Beter is om beide kanten goed te doen.
12-02-2021, 20:40 door Legionnaire
Door Anoniem: Microsoft plugt in haar advisory Windows Defender, maar die detecteert alleen kant-en-klare scripts.

Beter is het om besmetting (of code change) te ontdekken via:
- web source-code met tripwire detectie.
- web source-code onder version control.

Dit kan geautomatiseerd, waarbij de admin een mail ontvangt.

Dit speelt al jaren, maar de laatste 2 jaar, heeft men een bijna 'waterdicht' infrastructuur ontwikkeld mbt de algehele veiligheid en verificatie van je wachtwoorden en zo ongemerkt al je hardware vanaf je router tot je Smart TV enz. in beheer hebben, zonder dat de gemiddelde gebruiker het merkt.

De 2 belangrijke verschuivingen, wat we zagen in dit hele verhaal zijn, dat de bedreiging bijna niet meer van Hardcore Hackers de 'bekende' landen komen en in de media er nog wel steeds naar gewezen wordt, maar het nu veelal de PlayStation Generatie is en in een Westersland woont.
Vanaf de U.S., Duitsland en tevens je buurjongetje, hier in Nederland hebben een nieuwe hobby gevonden en gezamenlijk de 'kennis' delen en op de hoogte houden, waar men toegang tot heeft en dat zijn hoofdzakelijk particulieren.
De oorzaak van dit alles, zijn de talloze bekende developers websites, waar men een scriptje, progje en apps kunt downloaden incl. handleiding. Dus account aanmaken, dan zoeken naar wat ze een kick geeft, installeren en dan met de handleiding, wat nummertjes en/of text veranderen. Dan via andere zeer bekende sites, beheerd door Pro's en men kan zelfs van de Firma van een zeer bekende zoekmachine, beveiligingscertificaten kopen of via hun of een andere site, zonder enige kennis van programmeren en hoe het precies werkt, het progje of appje opstarten en voor jou het web afzoekt naar een potentieeel slachtoffer. Eentje of meerdere gevonden, wordt er bij de slachtoffer automatisch wat aangepast en/of geïnstalleerd, dat de Boefjes altijd toegang blijven houden.
Maar doordat het er nu zo enorm veel het doen en alles met elkaar delen, is men in staat verificatie codes via sms of telefoon te onderscheppen, men via een zeer bekende telecombedrijf een gratis nummer anoniem kan ophalen, zoveel als men wil en deze aan hun eigen nummer of pré paid koppelen en ze je een door hun verzonnen code opsturen en tegelijkertijd tijd wordt je doorgelinkt naar een 'fake' inlogsite en zo kunnen meekijken wat je inloggegevens zijn en als je dan ook nog hun code invult, dat is voor hun de verificatie, van wie de gegevens zijn en kloppen.
Bij MS kan men dat zien en testen aan meerdere factoren.
•Controleer her nummer waar de code vandaan komt.
•Staan er onder aan de site drie puntjes: klik erop en er zal een vreemde codde te zien zijn.
•De URL is extreem lang en verwijst meerdere malen naar etzelfde
•Probeer eerst eens aan te geven dat je wachtwoord niet werkt...
•Je hebt destijds een ander e-mailadres en mobielnummer ingegeven voor herstel wachtwoord
•Beide verificaties werken ineens niet meer en er wordt je dringend verzocht om met je wachtwoord in te loggen, zodat hun je een code kunnen opsturen.
•Als je dat blijft weigeren, kan het ineens zomaar zijn, dat er ineens een pagina opend waar je met een sociale media account, Github of ander account wat er totaal niets mee te maken heeft, maar opeens kan...
•Doe je dat...weer extra inloggevens erbij.
•Op deze manier hebben ze binnen no time alles van je onder controle...en als ze in de gaten krijgen dat je hun doorhebt, begint het kinderachtige spel en mocht jezelf ook weinig kennis hebben, dan wordt het een lastig pakket.
•Want ze veranderen je inloggegevens van je hardware, dus je mobiel en pc...en zetten er een tijdklok op...zetten mobiele datauit, zodat je op WiFi moet en meestal ook nog aanmelden Clouddiensten.
•Maken gebruik van Voicecontrol en Siri
•Blokkeren sites
•Maken gebruik van Narator
•Herstel media wordt verwijderd
•Schone install via USB...lukt eerste keer wel, maar is zo weer te niet gedaan.
•Op nieuw schone install zal niet lukken, want je OS versie en key worden tegen gehouden.
•Dit geldt voor alles wat maar een kenmerk of nummer heeft, dus van HDD tot noem maar op wordt geblokkeerd.
•Je register wordt vervangen en het is altijd dezelfde.
•Of je TV begint te flikkeren en router te klapperen, maar dan moet je er hard tegen in gaan...

• Het grote voordeel is dat, als je als mij en vrienden, al bijna 30 jaar in het vak zit en vroeger o.a. ook de papieren voor MS Developer hebt gehaald en nu in je vrije tijd als gepensioneerde, met vrienden en hun studenten als ethische hackers bezig zijn, het een zielig zootje vind, want ze weten niet wat ze hun slachtoffers en zichzelf aandoen...schending privacy...hier staat de zwaarste straf op en als volwassen berecht.
Bij mijn komen ze ook gewoon binnen, via de commerciële verbinding en laat ze eerst mooi aan knoeien, totdat ik het leuk vind, nu is het weer druk op de lijn...verder dan je webcam e.d. Komen ze niet.
Dan nemen wij alles van hun over, via video of geluid...gaat er een waarschuwing uit, daar wat ze mee bezig zijn, hun leven kan verwoesten en begrijpen dat het een kick geeft, maar de consequenties niet te over zien zijn.
Linkje Privacy wet en de meesten stoppen gelijk, want ze schrikken zich kapot ineens niets meer te kunnen en na gesprek dringt het pas goed door en stoppen, tenzij ze uit de US komen.
Er wordt momenteel veel werk van gemaakt ze op te sporen en snel recht.
Uit de US blijven doorgaan met de nodige taalgebruik erbij.
Je kunt ze toch niets maken...dus wel...ze laten enorm veel sporen achter...

Maar om dit allemaal te voorkomen en je merkt dat er iets niet klopt, heeft MS het al geruime tijd op orde.
Het beste is dat je telefonisch contact maakt met MS en het beste met Redmond USA.
Via het web moet je een enorme vragenlijst invullen, of jij de juiste persoon wel bent en dan kan het nog weken duren.
Een belletje, dan nemen ze alles met je door te verificatie en sturen ze je URL's naar zwaar beveiligde sites waar niemand tussen kan komen, overnemen of vervalsen.
Zo heb je in korte tijd, alles weer in eigen hand.
Maar kijk uit...de URL werkt maar één keer...
Je krijgt ook nog uitleg hoe veilig te blijven handelen en natuurlijk je systeem door iemand die echt verstand van zaken heeft, laten opschonen, schone installatie, volledig ge-update en dan op de juiste manier laten configuren, want daar gaat enorm veel tijd en kennis inzitten.
De meesten installeren hun systeem, updaten, passen wat aan en de grootste fout is om software/drivers van derden erop te zetten.
Maak alleen gebruik van MS update en verdiep je in het juist configureren en backup maken van je ststeeem.
Kijk op internet en er zijn boeken, die alleen maar gaan over het juist configuren van W10.
Ben je een leek, haal zo'n boek...dan ben je zeker de hele dag bezig om je systeem klaar te krijgen stap voor stap.
Verdiep je daar echt in, zeker vandaag de dag en laat die sites links liggen er hun gebrekkige kennis en investeer.
Als je dat éénmaal hebt gedaan, dan zal je enorm veel kennis opdoen en niet alleen over W10, maar je ook veel meer gaat begrijpen, hoe een OS in elkaar zit en werkt, de verschillen tussen diverse besturingsprogramma's en het verschil tussen bv MS, Apple en Linux.
Dan zul je zoals mij onpartijdig zijn, ondanks ik alle MS papieren heb, maar tijdens mijn studie de 'concurentie' ook moest leren, om zoveel mogelijk kennis te vergaren en dan kom je er achter dat geen enkele OS van welke fabrikant met elkaar te vergelijken is en ieder zijn sterke en zwakke punten heeft.
Succes....
12-02-2021, 21:48 door Anoniem
Door Anoniem:
Door walmare: Hoe weet Microsoft dit. Is windows spyware?
ATP? Gewoon scannen? Servers die ze beheren?

en waarom wisten ze dit dan weer niet:? : https://www.security.nl/posting/689928/Zerodaylek+in+Windows+10+werd+maandenlang+door+aanvallers+gebruikt
Whataboutism
Microsoft beheerd geen servers bij klanten. Dat doet de oligopolie partner. Dus wat is dat eigen onderzoek?
13-02-2021, 16:46 door Anoniem
Microsoft moet eens een green energy onderzoek doen naar hun producten. Waarom IIS zoveel meer resources gebruikt dan Apache/Nginx. Moet je eens kijken naar een exchange account, databases die niet shrinken etc etc.

Als je het zou vergelijken met de auto industrie, waren hun producten allang verbannen vanwege dat ze 0.1km op 1 liter rijden.
13-02-2021, 19:51 door Anoniem
Door Anoniem: Microsoft moet eens een green energy onderzoek doen naar hun producten. Waarom IIS zoveel meer resources gebruikt dan Apache/Nginx. Moet je eens kijken naar een exchange account, databases die niet shrinken etc etc.

Als je het zou vergelijken met de auto industrie, waren hun producten allang verbannen vanwege dat ze 0.1km op 1 liter rijden.
Dat hebben ze gedaan, vandaar hun keuze voor linux vwb IoT en Azure switches. MSSQL draait al op Linux. Exchange is de volgende en uiteindelijk Lindows.
14-02-2021, 00:25 door Anoniem
Door Anoniem: Microsoft moet eens een green energy onderzoek doen naar hun producten. Waarom IIS zoveel meer resources gebruikt dan Apache/Nginx. Moet je eens kijken naar een exchange account, databases die niet shrinken etc etc.

Als je het zou vergelijken met de auto industrie, waren hun producten allang verbannen vanwege dat ze 0.1km op 1 liter rijden.
Ahhh..daar ben je. De boomknuffelaar IT-er zat deze keer ACHTER de boom. het gaat over webshells en de gevaren van "comprimized systems". en het eventuele risico van het niet detecteren ervan. dan moet je niet als een Linux fanboy over resourcegebruik en green-IT beginnen.
14-02-2021, 14:02 door walmare
Door Anoniem:
Door Anoniem: Microsoft moet eens een green energy onderzoek doen naar hun producten. Waarom IIS zoveel meer resources gebruikt dan Apache/Nginx. Moet je eens kijken naar een exchange account, databases die niet shrinken etc etc.

Als je het zou vergelijken met de auto industrie, waren hun producten allang verbannen vanwege dat ze 0.1km op 1 liter rijden.
Ahhh..daar ben je. De boomknuffelaar IT-er zat deze keer ACHTER de boom. het gaat over webshells en de gevaren van "comprimized systems". en het eventuele risico van het niet detecteren ervan. dan moet je niet als een Linux fanboy over resourcegebruik en green-IT beginnen.
Waarom ben je een Linuxfanboy als iemand over gebruik van resources begint? heet hangijzer?
Het gaat over eigen onderzoek van Microsoft (zo stelt Microsoft op basis van eigen onderzoek). Geen enkele publicatie en hoe ze er aan komt. Dat je je dat niet afvraagt. Voorlopig fakenews verzonnen door MS en security.nl. Lijkt meer op een reclame campagne om antivirus te installeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.