NSA เตือนช่องโหว่ที่แฮ็กเกอร์ใช้บ่อยเพื่อเจาะเข้ามาวาง Web Shell

NSA และ Australian Signals Directorate (ASD) ได้ร่วมกันออกรายงานเพื่อช่วยผู้ดูแลองค์กรตรวจสอบและจัดการภัยคุกคามของ Web Shell

เครดิต : Zdnet

Web Shell เป็นโปรแกรมอันตรายหรือสคิร์ปต์ที่แฮ็กเกอร์นำไปติดตั้งกับเซิร์ฟเวอร์ที่เจาะได้แล้ว เพื่อทำหน้าที่เป็น Backdoor หรือรักษาการติดต่อ ทั้งนี้อาจจะเปิดให้แฮ็กเกอร์สามารถเข้ามาอัปโหลด ดาวน์โหลด เปลี่ยนแปลงแก้ไขไฟล์หรือได้ โดย Web Shell อาจถูกเขียนด้วยหลายภาษาเช่น PHP, GO และอื่นๆ 

โดย NSA และ ASD ได้ร่วมกันออกเอกสารเป็น PDF เพื่อแนะวิธีการจัดการกับ Web Shell ซึ่งพูดถึงเรื่องต่างๆ ดังนี้

  • สคิร์ปต์เพื่อทำการสแกนเทียบเว็บไซต์บน Production กับ Image ที่มั่นใจว่าปลอดภัยอยู่
  • การใช้ Splunk เพื่อตรวจหา URL อันตรายในทราฟฟิคของเว็บ
  • เครื่องมือวิเคราะห์ Log ของ IIS
  • Signature โดยทั่วไปของ Web Shell
  • ขั้นตอนในการค้นหา Network flow ที่ไม่คาดคิด
  • ขั้นตอนการค้นหาโปรเซสที่ถูกเรียกผิดปกติด้วย Sysmon
  • ขั้นตอนการค้นหาโปรเซสที่ถูกเรียกผิดปกติด้วย Auditd
  • HIPS Rule เพื่อบล็อกการเปลี่ยนแปลงการเข้าถึงไดเรกทอรีเว็บ

นอกจากนี้ยังได้พูดถึงช่องโหว่ที่พบบ่อยที่ค้นร้ายมักใช้เพื่อเจาะเว็บแอปพลิเคชันที่เกิดขึ้นไม่นานนี้ (ตามรูปด้านบน) อย่างไรก็ดี NSA แนะว่าก่อนเริ่มอะไรควรเริ่มจากหาช่องโหว่เหล่านี้ใน Production ก่อน

ที่มา :  https://www.zdnet.com/article/nsa-shares-list-of-vulnerabilities-commonly-exploited-to-plant-web-shells/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] สร้าง Data Security & Control บนระบบ Multi-Cloud อย่างไรให้มั่นคงปลอดภัย

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Entrust Webinar เรื่อง “สร้าง Data Security & Control บนระบบ Multi-Cloud อย่างไรให้มั่นคงปลอดภัย” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

Application Experience คือจุดสูงสุด ตราบเท่าที่มีความมั่นคงปลอดภัย

ปัจจุบันนี้ ความต่อเนื่องของธุรกิจขึ้นกับว่าแอปพลิเคชันพร้อมใช้งานหรือไม่เป็นสำคัญ ซึ่งเป็นสิ่งที่ทั้งพนักงานและลูกค้าต่างเป็นกังวลไม่ต่างกัน ฝ่าย IT ถูกกดดันให้จัดเตรียมแอปพลิเคชันที่มีทั้ง Experience และ Security ที่ดี แต่ความซับซ้อนด้านโครงสร้างพื้นฐานที่เพิ่มขึ้น ณ Edge และ Cloud กลับสร้างภาระเพิ่มเติมให้แก่ผู้ดูแลระบบ ที่ต้องคอยจัดหาเครื่องมือและเทคโนโลยีมาสร้างสมดุลย์ให้แก่แอปพลิเคชันโดยไม่ให้ส่งผลกระทบต่อความมั่นคงปลอดภัย