Bài viết này sẽ giúp các bạn hiểu rõ Web shell là gì và các cách thức hoạt động của nó. Web shell là một tập lệnh độc hại. Được sử dụng bởi kẻ tấn công với mục đích leo thang và duy trì quyền truy cập liên tục trên một ứng dụng web đã bị xâm phạm.
Bản thân một web shell không thể tấn công hoặc khai thác lỗ hổng từ xa. Vì vậy đây luôn là bước thứ hai của một cuộc tấn công. Giai đoạn này còn được gọi là hậu khai thác.
Nội dung
Web shell là gì?
Kẻ tấn công có thể lợi dụng các lỗ hổng phổ biến trên trang web như SQL Injection. Remote File Inclusion (RFI) hoặc thậm chí XSS. Như một phần của cuộc tấn công social engineering để đạt được khả năng upload file các file mã độc. Nhưng không giới hạn ở việc thực thi lệnh shell (truy cập vào cmd / dòng lệnh), thực thi code, truy cập cơ sở dữ liệu và quản lý file.
Các shell web có thể được viết bằng nhiều ngôn ngữ web. Ví dụ, các shell web PHP rất phổ biến. Chúng có thể ảnh hưởng đến bạn cho dù hệ thống của bạn dựa trên phần mềm tùy chỉnh. Hoặc trên hệ thống quản lý nội dung phổ biến như WordPress có plugin. Các Web Shell cũng có thể không bị phát hiện bởi phần mềm chống virus. Hoặc phần mềm chống phần mềm độc hại, vì chúng không sử dụng các loại tệp thực thi thông thường. Đồng thời, chúng dễ dàng có sẵn cho cộng đồng, chẳng hạn như thông qua một số dự án GitHub.
Truy cập từ xa liên tục của web shell là gì?
Một tập lệnh shell web thường chứa một backdoor, cho phép kẻ tấn công truy cập từ xa. Và có thể điều khiển máy chủ truy cập Internet bất cứ lúc nào.
Kẻ tấn công cũng có thể chọn tự sửa lỗ hổng để đảm bảo rằng không ai khác sẽ khai thác lỗ hổng đó.. Kẻ tấn công có thể giữ một cấu hình thấp và tránh mọi tương tác với quản trị viên. Trong khi vẫn thu được kết quả tương tự.
Một điều đáng nói nữa là một số web shell phổ biến sử dụng xác thực mật khẩu và các kỹ thuật khác. Để đảm bảo rằng chỉ có kẻ tấn công tải lên web shell mới có quyền truy cập vào nó. Các kỹ thuật này bao gồm khóa tập lệnh vào một header HTTP tùy chỉnh cụ thể. Các giá trị cookie cụ thể, địa chỉ IP cụ thể . Hầu hết các web shell cũng chứa mã để xác định và chặn các công cụ tìm kiếm. Và sau đó đưa vào danh sách đen toàn bộ tên miền hoặc máy chủ mà ứng dụng web được lưu trữ trên. Nói cách khác, sự xáo trộn và ẩn là chìa khóa.
Nâng cấp đặc quyền
Sử dụng web shell , kẻ tấn công có thể cố gắng thực hiện các cuộc tấn công leo thang phân quyền bằng cách khai thác các lỗ hổng cục bộ trên hệ thống để giành được các quyền cao hơn. Trong Linux và các hệ điều hành dựa trên UNIX khác là superuser.
Với quyền truy cập vào tài khoản root. Kẻ tấn công về cơ bản có thể làm bất cứ điều gì trên hệ thống bao gồm quản lý filee cục bộ, cài đặt phần mềm, thay đổi quyền, thêm và xóa người dùng, đánh cắp mật khẩu, đọc email và hơn thế nữa.
Tunnel và phát động các cuộc tấn công
Web Shell có thể được sử dụng để xoay vòng bên trong hoặc bên ngoài mạng. Kẻ tấn công có thể muốn theo dõi (sniff) lưu lượng mạng trên hệ thống, quét mạng nội bộ để khám phá các máy chủ trực tiếp và liệt kê tường lửa và bộ định tuyến trong mạng.
Quá trình này có thể mất nhiều ngày, thậm chí vài tháng. Chủ yếu là vì kẻ tấn công thường tìm cách giữ một cấu hình thấp. Và thu hút ít sự chú ý nhất có thể. Một khi kẻ tấn công có quyền truy cập liên tục, họ có thể kiên nhẫn thực hiện các động thái của mình.
Hệ thống bị xâm nhập cũng có thể được sử dụng để tấn công hoặc quét các mục tiêu cư trú bên ngoài mạng. Điều này bổ sung thêm một lớp ẩn danh cho kẻ tấn công. Vì họ đang sử dụng hệ thống bên thứ 3 để khởi động một cuộc tấn công. Một bước nữa sẽ là tunnel thông qua nhiều hệ thống. Khiến cho việc theo dõi một cuộc tấn công trở về nguồn của nó gần như không thể.
Zombie
Một cách sử dụng khác của web shell là làm cho các máy chủ trở thành một phần của mạng botnet.
Thiết lập này thường được sử dụng trong các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Đòi hỏi lượng băng thông lớn. Trong trường hợp này. kẻ tấn công không có bất kỳ lợi ích nào trong việc làm hại hoặc đánh cắp bất cứ thứ gì từ hệ thống mà web được triển khai. Thay vào đó, họ sẽ chỉ sử dụng tài nguyên của nó.
Theo acunetix