Microsoft เผยแพร่กรณีศึกษาการวิเคราะห์เว็บไซต์ที่ถูกโจมตีฝัง web shell พร้อมแนะนำวิธีตรวจสอบและป้องกัน
- Web shell คือไฟล์ที่สามารถใช้เข้าถึงหรือส่งคำสั่งของระบบปฏิบัติการได้โดยตรงผ่านหน้าเว็บไซต์ ผู้ประสงค์ร้ายมักอัปโหลดไฟล์ประเภทนี้ขึ้นมาบนเว็บเซิร์ฟเวอร์เพื่อใช้เป็นช่องทางควบคุมสั่งการหรือขยายการโจมตีไปยังเครื่องคอมพิวเตอร์อื่นๆ ในเครือข่ายต่อในภายหลัง ตัว web shell ถือว่าเป็นมัลแวร์ประเภท backdoor การตรวจสอบว่าเครื่้องเซิร์ฟเวอร์ถูกฝัง web shell หรือไม่นั้นอาจแตกต่างจากการวิเคราะห์มัลแวร์ในลักษณะอื่นๆ ทาง Microsoft ได้เผยแพร่บทความกรณีศึกษาการวิเคราะห์เว็บเซิร์ฟเวอร์ถูกฝัง web shell โดยมีตัวอย่างลักษณะ web shell ที่พบพร้อมมีข้อแนะนำในการตรวจสอบและป้องกันด้วย
.. - จากกรณีศึกษา ทาง Microsoft พบว่าผู้ประสงค์ร้ายได้โจมตีเซิร์ฟเวอร์ Outlook Web Access (OWA) ที่มีการตั้งค่าไม่ปลอดภัย จนทำให้สามารถอัปโหลดไฟล์ web shell เข้ามาวางไว้บนเซิร์ฟเวอร์ดังกล่าวได้ จากนั้นผู้ประสงค์ร้ายได้เรียกใช้งานตัว web shell และสั่ง brute force รหัสผ่านของบัญชีในเครือข่าย เมื่อสามารถเข้าถึงบัญชีที่มีสิทธิ์ในระดับสูงได้แล้วก็ใช้บัญชีดังกล่าวติดตั้งมัลแวร์ลงในเซิร์ฟเวอร์ Microsoft Exchange เพื่อดักอ่านข้อมูลอีเมลทั้งหมดที่รับส่ง
.. - กรณีศึกษานี้จะเห็นได้ว่าการใช้ web shell นั้นเป็นเพียงช่องทางสำหรับเข้าถึงระบบ หากพบเซิร์ฟเวอร์ที่ถูกฝัง web shell ก็อาจเป็นไปได้ว่าเครื่องเซิร์ฟเวอร์ดังกล่าวถูกใช้ในการโจมตีเครือข่ายภายใน (หรืออาจถูกใช้โจมตีเครือข่ายภายนอกได้ด้วย) การตรวจสอบและประเมินผลกระทบก็อาจไม่ได้จำกัดเฉพาะเครื่องเซิร์ฟเวอร์ที่ถูกฝัง web shell แต่ควรตรวจสอบเครื่องคอมพิวเตอร์อื่นๆ ในเครือข่ายด้วย
.. - โดยปกติแล้วตัว web shell จะถูกเขียนด้วยภาษาที่เว็บเซิร์ฟเวอร์นั้นรองรับ (เช่น ASP, PHP, JSP) ผู้ประสงค์ร้ายมักจะตั้งชื่อไฟล์ web shell ให้เนียนไปกับชื่อไฟล์ทั่วไปของ web application เพื่อให้ยากในการตรวจสอบ ทาง Microsoft มีข้อแนะนำในการตรวจจับการโจมตีเพื่อฝัง web shell โดยควรตรวจจับและแจ้งเตือนการเขียนไฟล์ลงในไดเรกทอรีของเว็บแอปพลิเชันเนื่องจากโดยปกติแล้วไฟล์ในไดเรกทอรีเหล่านี้มักจะไม่ได้มีการเปลี่ยนแปลงอยู่บ่อยๆ หากมีไฟล์ใหม่ถูกเพิ่มเข้ามาแบบผิดปกติควรพิจารณาว่าไฟล์นั้นน่าสงสัย หรือในกรณีที่เซิร์ฟเวอร์เป็น Windows หลังจากที่ web shell ถูกติดตั้งสำเร็จแล้ว หากมีการเข้าถึงไฟล์ดังกล่าวจะปรากฎข้อมูลใน web access log รวมถึงหากมีการใช้ web shell เพื่อสั่งรันแอปพลิเคชันอื่นๆ ในระบบ ตัวแอปพลิเคชันนั้นจะเป็น child process ของเว็บเซิร์ฟเวอร์ด้วย ซึ่งหากพบว่ามีการรัน process ในลักษณะนี้ก็อาจเป็นไปได้ว่าระบบถูกโจมตีแล้ว
.. - ข้อแนะนำในการป้องกัน เนื่องจากการโจมตีฝัง web shell นั้นอาศัยจุดอ่อนของการตั้งค่าเว็บเซิร์ฟเวอร์หรือช่องโหว่ในเว็บแอปพลิเคชัน (โดยเฉพาะช่องโหว่ประเภทที่สามารถอัปโหลดไฟล์ใดๆ เข้ามาวางไว้บนเซิร์ฟเวอร์ได้) การตรวจสอบการตั้งค่าระบบ การตรวจสอบช่องโหว่เว็บแอปพลิเคชัน รวมถึงการติดตั้งแพตช์แก้ไขช่องโหว่อย่างสม่ำเสมอก็เป็นหนึ่งในวิธีที่สามารถช่วยได้ นอกจากนี้ควรมีการรีวิว log ของเว็บเซิร์ฟเวอร์อยู่เป็นประจำ รวมถึงปิดพอร์ตที่ไม่จำเป็นและพิจารณาบล็อกการเชื่อมต่อผ่านพอร์ตที่เป็น non-standard
ที่มา : https://www.thaicert.or.th/newsbite/2020-02-05-01.html
