Black Hat Asia 2023

Microsoft เตือนพบการเปิด Web Shell บน Web Server มากขึ้นกว่าปีก่อนถึงเท่าตัว

Microsoft ได้ออกมาเผยถึงการค้นพบการติดตั้ง Web Shell ต้องสงสัยบน Web Server มากขึ้นกว่าเดิมถึงเท่าตัว โดยในช่วงเดือนสิงหาคม 2020 – มกราคม 2021 นั้น มีการพบ Web Shell โดยเฉลี่ยมากถึง 140,000 ระบบ ในขณะที่ก่อนหน้านั้นพบเพียง 77,000 ระบบเท่านั้น

Credit: Microsoft

ทีมนักวิจัยจาก Microsoft ระบุว่าการตรวจพบ Web Shell เพิ่มขึ้นนี้อาจบ่งบอกถึงความง่ายดายและประสิทธิภาพในการใช้ Web Shell ในการโจมตีที่ทำให้ผู้โจมตีนั้นทำงานได้ง่าย โดย Web Shell นั้นถูกพบเจอว่าเป็นส่วนประกอบในการโจมตีหลากหลายรูปแบบมากขึ้น ทั้งในเชิงของการถูกใช้ติดตั้งหลังจากค้นพบช่องโหว่บนระบบของเหยื่อเพื่อทำการโจมตีต่อเนื่องในภายหลัง หรือการติดตั้งทิ้งไว้เพื่อใช้เป็น Backdoor สำหรับโจมตีในระยะยาว

Microsoft ยังระบุอีกด้วยว่าความท้าทายในการตรวจจับ Web Shell นั้นมีด้วยกันหลายประการ ไม่ว่าจะเป็นความยากในการตรวจจับเนื่องจาก Web Shell นั้นสามารถถูกพัฒนาได้บนหลายภาษา และมีวิธีหลบหลีกการตรวจจับอยู่มากมาย ในขณะที่การตรวจจับจากพฤติกรรมนั้นก็ไม่ง่าย อีกทั้งโค้ดของ Web Shell เองก็ยังอาจถูกซ่อนเอาไว้ในไฟล์ที่ไม่สามารถถูก Execute อย่างเช่นไฟล์ที่เป็น Media ได้อีกด้วย

สิ่งที่ Microsoft ได้พัฒนาขึ้นมาเพื่อรับมือการลักลอบติดตั้ง Web Shell นี้ก็คือ Microsoft Defender for Endpoint ด้วยวิธีการที่หลากหลาย ตั้งแต่พฤติกรรมการเขียนไฟล์, การ Execute Process, การทำ Behavior-based Blocking และการทำ Containment เป็นต้น

ทั้งนี้ Microsoft ก็ได้แนะนำวิธีการทำ Server Hardening เพื่อช่วยลดความเสี่ยงจากการถูกติดตั้ง Web Shell เอาไว้ดังนี้

  • ค้นหาและจัดการอุดช่องโหว่หรือการตั้งค่าที่ไม่มั่นคงปลอดภัยบน Web Application และ Web Server ให้ดี
  • ทำ Network Segmentation เพื่อลดโอกาสที่จะถูกโจมตีต่อเนื่องจากการที่ระบบใดระบบหนึ่งถูกโจมตีสำเร็จ
  • เปิดให้ Antivirus บน Web Server และเชื่อมต่อกับการอัปเดตใหม่ๆ บน Cloud อยู่เสมอ
  • ทำการตรวจสอบข้อมูล Log บน Web Server อย่างสม่ำเสมอ และต้องมีรายการของระบบที่ถูกเข้าถึงได้ผ่าน Internet สาธารณะอยู่ตลอด
  • เปิดใช้ Windows Defender Firewall, IPS และ Network Firewall อื่นๆ
  • ตรวจสอบ Perimeter Firewall และ Proxy ให้ควบคุมการเข้าถึงบริการต่างๆ อย่างเข้มงวดและระงับการติดต่อที่ไม่จำเป็นออกไปทั้งหมด
  • จัดการ Credential ในระบบให้ดี และใช้สิทธิ์ Admin ทั้งในระดับ Local และ Domain เฉพาะเท่าที่จำเป็นจริงๆ เท่านั้น

ที่มา: https://www.zdnet.com/article/microsoft-said-the-number-of-web-shells-has-doubled-since-last-year/ , https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NVIDIA ประกาศระบบใหม่สำหรับ Accelerated Quantum-Classical Computing

NVIDIA และ Quantum Machines เปิดตัว DGX Quantum ซึ่งเป็นระบบแรกที่จับคู่ GPU และ Quantum Computing โดยใช้แพลตฟอร์มซอฟต์แวร์ CUDA Quantum …

“ไทยน้ำทิพย์” กับการปรับกลยุทธ์การจัดซื้อ เข้าถึง Supplier รายใหม่อย่างหลากหลายด้วย SAP Ariba จาก NDBS THAILAND

สำหรับธุรกิจโรงงานและการผลิต การจัดซื้อถือเป็นหนึ่งในหัวใจสำคัญต่อความสำเร็จของธุรกิจเป็นอย่างมาก โดยเฉพาะอย่างยิ่งท่ามกลางความผันผวนของ Supply Chain ที่เกิดขึ้นทั่วโลกในช่วง 2-3 ปีที่ผ่านมา และการตอบรับต่อกระแสด้านความยั่งยืนของธุรกิจในอนาคตที่จะทำให้ Landscape ของ Supply Chain เปลี่ยนแปลงไปอย่างต่อเนื่อง