Ingram SUSE

Microsoft เตือนพบการเปิด Web Shell บน Web Server มากขึ้นกว่าปีก่อนถึงเท่าตัว

Microsoft ได้ออกมาเผยถึงการค้นพบการติดตั้ง Web Shell ต้องสงสัยบน Web Server มากขึ้นกว่าเดิมถึงเท่าตัว โดยในช่วงเดือนสิงหาคม 2020 – มกราคม 2021 นั้น มีการพบ Web Shell โดยเฉลี่ยมากถึง 140,000 ระบบ ในขณะที่ก่อนหน้านั้นพบเพียง 77,000 ระบบเท่านั้น

Credit: Microsoft

ทีมนักวิจัยจาก Microsoft ระบุว่าการตรวจพบ Web Shell เพิ่มขึ้นนี้อาจบ่งบอกถึงความง่ายดายและประสิทธิภาพในการใช้ Web Shell ในการโจมตีที่ทำให้ผู้โจมตีนั้นทำงานได้ง่าย โดย Web Shell นั้นถูกพบเจอว่าเป็นส่วนประกอบในการโจมตีหลากหลายรูปแบบมากขึ้น ทั้งในเชิงของการถูกใช้ติดตั้งหลังจากค้นพบช่องโหว่บนระบบของเหยื่อเพื่อทำการโจมตีต่อเนื่องในภายหลัง หรือการติดตั้งทิ้งไว้เพื่อใช้เป็น Backdoor สำหรับโจมตีในระยะยาว

Microsoft ยังระบุอีกด้วยว่าความท้าทายในการตรวจจับ Web Shell นั้นมีด้วยกันหลายประการ ไม่ว่าจะเป็นความยากในการตรวจจับเนื่องจาก Web Shell นั้นสามารถถูกพัฒนาได้บนหลายภาษา และมีวิธีหลบหลีกการตรวจจับอยู่มากมาย ในขณะที่การตรวจจับจากพฤติกรรมนั้นก็ไม่ง่าย อีกทั้งโค้ดของ Web Shell เองก็ยังอาจถูกซ่อนเอาไว้ในไฟล์ที่ไม่สามารถถูก Execute อย่างเช่นไฟล์ที่เป็น Media ได้อีกด้วย

สิ่งที่ Microsoft ได้พัฒนาขึ้นมาเพื่อรับมือการลักลอบติดตั้ง Web Shell นี้ก็คือ Microsoft Defender for Endpoint ด้วยวิธีการที่หลากหลาย ตั้งแต่พฤติกรรมการเขียนไฟล์, การ Execute Process, การทำ Behavior-based Blocking และการทำ Containment เป็นต้น

ทั้งนี้ Microsoft ก็ได้แนะนำวิธีการทำ Server Hardening เพื่อช่วยลดความเสี่ยงจากการถูกติดตั้ง Web Shell เอาไว้ดังนี้

  • ค้นหาและจัดการอุดช่องโหว่หรือการตั้งค่าที่ไม่มั่นคงปลอดภัยบน Web Application และ Web Server ให้ดี
  • ทำ Network Segmentation เพื่อลดโอกาสที่จะถูกโจมตีต่อเนื่องจากการที่ระบบใดระบบหนึ่งถูกโจมตีสำเร็จ
  • เปิดให้ Antivirus บน Web Server และเชื่อมต่อกับการอัปเดตใหม่ๆ บน Cloud อยู่เสมอ
  • ทำการตรวจสอบข้อมูล Log บน Web Server อย่างสม่ำเสมอ และต้องมีรายการของระบบที่ถูกเข้าถึงได้ผ่าน Internet สาธารณะอยู่ตลอด
  • เปิดใช้ Windows Defender Firewall, IPS และ Network Firewall อื่นๆ
  • ตรวจสอบ Perimeter Firewall และ Proxy ให้ควบคุมการเข้าถึงบริการต่างๆ อย่างเข้มงวดและระงับการติดต่อที่ไม่จำเป็นออกไปทั้งหมด
  • จัดการ Credential ในระบบให้ดี และใช้สิทธิ์ Admin ทั้งในระดับ Local และ Domain เฉพาะเท่าที่จำเป็นจริงๆ เท่านั้น

ที่มา: https://www.zdnet.com/article/microsoft-said-the-number-of-web-shells-has-doubled-since-last-year/ , https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

FBI จับกุมผู้ต้องหาวางแผนระเบิดดาต้าเซ็นเตอร์ของ AWS

ในสังคมอันกว้างใหญ่นี้มีอาชญากรมากมายเกิดขึ้นทุกวัน ทั้งจากโลกไซเบอร์เองหรือคนที่มีความคิดรุนแรงหวังสร้างความเสียทาง Physical ให้แก่โครงสร้างพื้นฐานทางไอที ล่าสุด FBI ก็ได้เข้าจับกุมชายรายหนึ่งที่วางแผนลอบวางระเบิดดาต้าเซ็นเตอร์ของ AWS เพราะหวังทำลายระบบอินเทอร์เน็ตส่งผลกระทบเป็นวงกว้าง

Tencent ประกาศเปิดตัวดาต้าเซนเตอร์แห่งแรกในอินโดนีเซีย

Tencent บริษัทเทคโนโลยีรายใหญ่จากจีนได้เปิดดาต้าเซนเตอร์แห่งแรกในอินโดนีเซียแล้ว เพื่อรองรับความต้องการที่จะเติบโตขึ้นในอนาคต ในโอกาสเดียวกันนี้ยังเผยแผนที่จะเปิดดาต้าเซ็นเตอร์แห่งที่สองในไทยและเกาหลีใต้ภายในไม่กี่เดือนข้างหน้า