Microsoft: Web-Shell-Angriffe haben sich im letzten Jahr verdoppelt

  • Microsofts Detection and Response- und 365 Defender-Teams schlagen Alarm: Die Zahl der beobachteten Angriffe mit Web-Shell-Malware hat sich seit dem letzten Jahr fast verdoppelt. (Microsoft)

    Das Vorhandensein von Web-Shells in einem Netzwerk ist oft eines der stärksten Signale für einen laufenden oder bevorstehenden Cyberangriff.

    Auf der Grundlage von Daten aus Milliarden von E-Mails, Anwendungen, Endpunkten und Identitäten schlagen die Teams von Microsoft Detection and Response und 365 Defender Alarm, dass sich die Zahl der beobachteten Angriffe mit Web-Shell-Malware seit dem letzten Jahr fast verdoppelt hat.

    Die Daten decken den Zeitraum zwischen August 2020 und Januar 2021 ab. Dabei wurden durchschnittlich 140.000 Web-Shell-Angriffe pro Monat festgestellt, gegenüber rund 77.000 pro Monat im gleichen Zeitraum des Vorjahres.

    Microsoft glaubt, dass ein Faktor für den Anstieg die relative Leichtigkeit ist, mit der Hacker schnell Schwachstellen als Waffe nutzen können, um Shells in den Netzwerken der Opfer einzurichten.

    In einem Fall wurde im Juli letzten Jahres eine kritische Konfigurationsschwachstelle in weit verbreiteten F5 Big-IP-Controllern gefunden, die die Ausführung von Remote-Code ermöglichte und schnell von böswilligen Hackern ausgenutzt wurde. Nur vier Tage nach Bekanntwerden der Schwachstelle wurde ein Exploit zu Metasploit hinzugefügt, einem Penetrationstest-Kit, das auch bei Cyberkriminellen beliebt ist. Einen Tag später beobachtete Microsoft, dass die Schwachstelle in freier Wildbahn genutzt wurde, um Web-Shells für einen Cryptomining-Betrug auf verwundbare Server hochzuladen, und die Zahl der Angriffe explodierte daraufhin.

    Es lässt auch eine offene Tür für Cyberkriminelle, um zurückzukommen, nachdem sie entdeckt oder aus dem Netzwerk einer Organisation gebootet wurden.

    “Wir sehen häufig Fälle, in denen Web-Shells nur als Persistenz-Mechanismus verwendet werden”, schreiben die Sicherheitsteams von Microsoft. “Web-Shells garantieren, dass eine Hintertür in einem kompromittierten Netzwerk existiert, da ein Angreifer ein bösartiges Implantat hinterlässt, nachdem er auf einem Server Fuß gefasst hat. Wenn sie unentdeckt bleiben, bieten Web-Shells Angreifern eine Möglichkeit, weiterhin Daten aus den Netzwerken zu sammeln und zu monetarisieren, auf die sie Zugriff haben.”

    Während sie für Angreifer leicht einzurichten sind, können Web-Shells von Verteidigern nur schwer entdeckt werden, da sie oft auf bestimmte Server abzielen und sich im Rauschen des Internetverkehrs, des Scannens, des Sondierens und der erfolglosen Angriffe verstecken können, die die meisten Unternehmen täglich erleben. Außerdem sind sie dynamisch und können in verschiedenen Programmiersprachen geschrieben sein, so dass ihre böswillige Absicht verborgen werden kann oder sie für Netzwerkverteidiger mehrdeutige Bedeutungen haben. Die Analyse des Kontextes einer Web-Shell “kann eine Herausforderung sein, weil der Kontext nicht klar ist, bis die Shell verwendet wird.”

    Die Daten von Microsoft sind der jüngste Hinweis darauf, dass Web-Shells eine immer beliebtere Form von Malware werden, auf die sich Cyberkriminelle und Nationalstaaten verlassen. Letztes Jahr haben die U.S. National Security Agency und das Australian Signals Directorate einen detaillierten, gemeinsamen technischen Ratschlag über die zunehmende Verwendung von Web-Shells durch böswillige Akteure veröffentlicht und gewarnt, dass sie “ein ernsthaftes Risiko für [Department of Defense] Komponenten” darstellen und verwendet werden können, um öffentliche und nicht-öffentliche Software und Anwendungen anzugreifen.”

    Die Behörden wiesen auf den “weit verbreiteten Irrglauben” hin, dass nur Systeme, die dem Internet zugewandt sind, Ziel von Web-Shells sind. Dabei setzen Angreifer Web-Shells häufig auf solche Anwendungen ein, die interne Content-Management-Systeme oder Netzwerkgeräte-Management-Schnittstellen sind. “Interne Web-Applikationen sind oft anfälliger für eine Kompromittierung, weil das Patch-Management hinterherhinkt oder die Sicherheitsanforderungen zu großzügig sind”, heißt es in dem Advisory.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com