Microsoft ได้ออกมาเผยถึงการค้นพบการติดตั้ง Web Shell ต้องสงสัยบน Web Server มากขึ้นกว่าเดิมถึงเท่าตัว โดยในช่วงเดือนสิงหาคม 2020 – มกราคม 2021 นั้น มีการพบ Web Shell โดยเฉลี่ยมากถึง 140,000 ระบบ ในขณะที่ก่อนหน้านั้นพบเพียง 77,000 ระบบเท่านั้น

ทีมนักวิจัยจาก Microsoft ระบุว่าการตรวจพบ Web Shell เพิ่มขึ้นนี้อาจบ่งบอกถึงความง่ายดายและประสิทธิภาพในการใช้ Web Shell ในการโจมตีที่ทำให้ผู้โจมตีนั้นทำงานได้ง่าย โดย Web Shell นั้นถูกพบเจอว่าเป็นส่วนประกอบในการโจมตีหลากหลายรูปแบบมากขึ้น ทั้งในเชิงของการถูกใช้ติดตั้งหลังจากค้นพบช่องโหว่บนระบบของเหยื่อเพื่อทำการโจมตีต่อเนื่องในภายหลัง หรือการติดตั้งทิ้งไว้เพื่อใช้เป็น Backdoor สำหรับโจมตีในระยะยาว
Microsoft ยังระบุอีกด้วยว่าความท้าทายในการตรวจจับ Web Shell นั้นมีด้วยกันหลายประการ ไม่ว่าจะเป็นความยากในการตรวจจับเนื่องจาก Web Shell นั้นสามารถถูกพัฒนาได้บนหลายภาษา และมีวิธีหลบหลีกการตรวจจับอยู่มากมาย ในขณะที่การตรวจจับจากพฤติกรรมนั้นก็ไม่ง่าย อีกทั้งโค้ดของ Web Shell เองก็ยังอาจถูกซ่อนเอาไว้ในไฟล์ที่ไม่สามารถถูก Execute อย่างเช่นไฟล์ที่เป็น Media ได้อีกด้วย
สิ่งที่ Microsoft ได้พัฒนาขึ้นมาเพื่อรับมือการลักลอบติดตั้ง Web Shell นี้ก็คือ Microsoft Defender for Endpoint ด้วยวิธีการที่หลากหลาย ตั้งแต่พฤติกรรมการเขียนไฟล์, การ Execute Process, การทำ Behavior-based Blocking และการทำ Containment เป็นต้น
ทั้งนี้ Microsoft ก็ได้แนะนำวิธีการทำ Server Hardening เพื่อช่วยลดความเสี่ยงจากการถูกติดตั้ง Web Shell เอาไว้ดังนี้
- ค้นหาและจัดการอุดช่องโหว่หรือการตั้งค่าที่ไม่มั่นคงปลอดภัยบน Web Application และ Web Server ให้ดี
- ทำ Network Segmentation เพื่อลดโอกาสที่จะถูกโจมตีต่อเนื่องจากการที่ระบบใดระบบหนึ่งถูกโจมตีสำเร็จ
- เปิดให้ Antivirus บน Web Server และเชื่อมต่อกับการอัปเดตใหม่ๆ บน Cloud อยู่เสมอ
- ทำการตรวจสอบข้อมูล Log บน Web Server อย่างสม่ำเสมอ และต้องมีรายการของระบบที่ถูกเข้าถึงได้ผ่าน Internet สาธารณะอยู่ตลอด
- เปิดใช้ Windows Defender Firewall, IPS และ Network Firewall อื่นๆ
- ตรวจสอบ Perimeter Firewall และ Proxy ให้ควบคุมการเข้าถึงบริการต่างๆ อย่างเข้มงวดและระงับการติดต่อที่ไม่จำเป็นออกไปทั้งหมด
- จัดการ Credential ในระบบให้ดี และใช้สิทธิ์ Admin ทั้งในระดับ Local และ Domain เฉพาะเท่าที่จำเป็นจริงๆ เท่านั้น
ที่มา: https://www.zdnet.com/article/microsoft-said-the-number-of-web-shells-has-doubled-since-last-year/ , https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/