NSA เตือนช่องโหว่ที่แฮ็กเกอร์ใช้บ่อยเพื่อเจาะเข้ามาวาง Web Shell

NSA และ Australian Signals Directorate (ASD) ได้ร่วมกันออกรายงานเพื่อช่วยผู้ดูแลองค์กรตรวจสอบและจัดการภัยคุกคามของ Web Shell

เครดิต : Zdnet

Web Shell เป็นโปรแกรมอันตรายหรือสคิร์ปต์ที่แฮ็กเกอร์นำไปติดตั้งกับเซิร์ฟเวอร์ที่เจาะได้แล้ว เพื่อทำหน้าที่เป็น Backdoor หรือรักษาการติดต่อ ทั้งนี้อาจจะเปิดให้แฮ็กเกอร์สามารถเข้ามาอัปโหลด ดาวน์โหลด เปลี่ยนแปลงแก้ไขไฟล์หรือได้ โดย Web Shell อาจถูกเขียนด้วยหลายภาษาเช่น PHP, GO และอื่นๆ 

โดย NSA และ ASD ได้ร่วมกันออกเอกสารเป็น PDF เพื่อแนะวิธีการจัดการกับ Web Shell ซึ่งพูดถึงเรื่องต่างๆ ดังนี้

  • สคิร์ปต์เพื่อทำการสแกนเทียบเว็บไซต์บน Production กับ Image ที่มั่นใจว่าปลอดภัยอยู่
  • การใช้ Splunk เพื่อตรวจหา URL อันตรายในทราฟฟิคของเว็บ
  • เครื่องมือวิเคราะห์ Log ของ IIS
  • Signature โดยทั่วไปของ Web Shell
  • ขั้นตอนในการค้นหา Network flow ที่ไม่คาดคิด
  • ขั้นตอนการค้นหาโปรเซสที่ถูกเรียกผิดปกติด้วย Sysmon
  • ขั้นตอนการค้นหาโปรเซสที่ถูกเรียกผิดปกติด้วย Auditd
  • HIPS Rule เพื่อบล็อกการเปลี่ยนแปลงการเข้าถึงไดเรกทอรีเว็บ

นอกจากนี้ยังได้พูดถึงช่องโหว่ที่พบบ่อยที่ค้นร้ายมักใช้เพื่อเจาะเว็บแอปพลิเคชันที่เกิดขึ้นไม่นานนี้ (ตามรูปด้านบน) อย่างไรก็ดี NSA แนะว่าก่อนเริ่มอะไรควรเริ่มจากหาช่องโหว่เหล่านี้ใน Production ก่อน

ที่มา :  https://www.zdnet.com/article/nsa-shares-list-of-vulnerabilities-commonly-exploited-to-plant-web-shells/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

TechTalkThai คว้ารางวัลในงาน Prime Minister Awards: Thailand Cybersecurity Excellence Award 2022

บริษัทเทคทอล์กไทยกรุ๊ป จำกัด (TechTalkThai) โดยคุณสุธีร์ กิจเจริญการกุล ผู้ร่วมก่อตั้งและประธานบริษัทฯ ได้รับเกียรติเข้ารับมอบโล่รางวัลดีเด่น ในฐานะหน่วยงานให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศดีเด่น Cybersecurity Excellence Award (Supporting) ภายในงาน Prime Minister …

Tanium ร่วมกับ Microsoft Intelligent Security Association เพื่อเสริมความแข็งแกร่งให้กับความปลอดภัยด้านไอที

Microsoft และ Tanium จะเปลี่ยนอนาคตของการรักษาความปลอดภัยและการดำเนินงานด้านไอทีสำหรับองค์กร