CDIC 2023

Microsoft เตือนพบการเปิด Web Shell บน Web Server มากขึ้นกว่าปีก่อนถึงเท่าตัว

Microsoft ได้ออกมาเผยถึงการค้นพบการติดตั้ง Web Shell ต้องสงสัยบน Web Server มากขึ้นกว่าเดิมถึงเท่าตัว โดยในช่วงเดือนสิงหาคม 2020 – มกราคม 2021 นั้น มีการพบ Web Shell โดยเฉลี่ยมากถึง 140,000 ระบบ ในขณะที่ก่อนหน้านั้นพบเพียง 77,000 ระบบเท่านั้น

Credit: Microsoft

ทีมนักวิจัยจาก Microsoft ระบุว่าการตรวจพบ Web Shell เพิ่มขึ้นนี้อาจบ่งบอกถึงความง่ายดายและประสิทธิภาพในการใช้ Web Shell ในการโจมตีที่ทำให้ผู้โจมตีนั้นทำงานได้ง่าย โดย Web Shell นั้นถูกพบเจอว่าเป็นส่วนประกอบในการโจมตีหลากหลายรูปแบบมากขึ้น ทั้งในเชิงของการถูกใช้ติดตั้งหลังจากค้นพบช่องโหว่บนระบบของเหยื่อเพื่อทำการโจมตีต่อเนื่องในภายหลัง หรือการติดตั้งทิ้งไว้เพื่อใช้เป็น Backdoor สำหรับโจมตีในระยะยาว

Microsoft ยังระบุอีกด้วยว่าความท้าทายในการตรวจจับ Web Shell นั้นมีด้วยกันหลายประการ ไม่ว่าจะเป็นความยากในการตรวจจับเนื่องจาก Web Shell นั้นสามารถถูกพัฒนาได้บนหลายภาษา และมีวิธีหลบหลีกการตรวจจับอยู่มากมาย ในขณะที่การตรวจจับจากพฤติกรรมนั้นก็ไม่ง่าย อีกทั้งโค้ดของ Web Shell เองก็ยังอาจถูกซ่อนเอาไว้ในไฟล์ที่ไม่สามารถถูก Execute อย่างเช่นไฟล์ที่เป็น Media ได้อีกด้วย

สิ่งที่ Microsoft ได้พัฒนาขึ้นมาเพื่อรับมือการลักลอบติดตั้ง Web Shell นี้ก็คือ Microsoft Defender for Endpoint ด้วยวิธีการที่หลากหลาย ตั้งแต่พฤติกรรมการเขียนไฟล์, การ Execute Process, การทำ Behavior-based Blocking และการทำ Containment เป็นต้น

ทั้งนี้ Microsoft ก็ได้แนะนำวิธีการทำ Server Hardening เพื่อช่วยลดความเสี่ยงจากการถูกติดตั้ง Web Shell เอาไว้ดังนี้

  • ค้นหาและจัดการอุดช่องโหว่หรือการตั้งค่าที่ไม่มั่นคงปลอดภัยบน Web Application และ Web Server ให้ดี
  • ทำ Network Segmentation เพื่อลดโอกาสที่จะถูกโจมตีต่อเนื่องจากการที่ระบบใดระบบหนึ่งถูกโจมตีสำเร็จ
  • เปิดให้ Antivirus บน Web Server และเชื่อมต่อกับการอัปเดตใหม่ๆ บน Cloud อยู่เสมอ
  • ทำการตรวจสอบข้อมูล Log บน Web Server อย่างสม่ำเสมอ และต้องมีรายการของระบบที่ถูกเข้าถึงได้ผ่าน Internet สาธารณะอยู่ตลอด
  • เปิดใช้ Windows Defender Firewall, IPS และ Network Firewall อื่นๆ
  • ตรวจสอบ Perimeter Firewall และ Proxy ให้ควบคุมการเข้าถึงบริการต่างๆ อย่างเข้มงวดและระงับการติดต่อที่ไม่จำเป็นออกไปทั้งหมด
  • จัดการ Credential ในระบบให้ดี และใช้สิทธิ์ Admin ทั้งในระดับ Local และ Domain เฉพาะเท่าที่จำเป็นจริงๆ เท่านั้น

ที่มา: https://www.zdnet.com/article/microsoft-said-the-number-of-web-shells-has-doubled-since-last-year/ , https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ขอเชิญร่วมงานสัมมนาออนไลน์ Elevating Security with Akamai พบกับโซลูชันด้านความมั่นคงปลอดภัยที่ล้ำสมัยจาก Akamai Technologies [อังคารที่ 19 ธันวาคม 23] เวลา14.00 น.

ในยุคที่ภัยคุกคามทางไซเบอร์กำลังพัฒนาไปอย่างรวดเร็วอย่างที่ไม่เคยเกิดขึ้นมาก่อน ธุรกิจต่างๆ ต้องการโซลูชันความปลอดภัยที่แข็งแกร่งและครอบคลุมเพื่อปกป้องสินทรัพย์ดิจิทัลของบริษัท ขอเชิญผู้สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์สุดพิเศษนี้ โดยท่านจะได้พบกับเทคโนโลยีการรักษาความปลอดภัยที่ล้ำสมัยจาก Akamai Technologies โดยมุ่งเน้นไปที่ความปลอดภัยของ API การปกป้องฝั่งไคลเอ็นต์ และตัวป้องกันบัญชี

ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18  ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞

Softde’but ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18 ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞ โดยงานจะจัดขึ้นในวันศุกร์ที่ …