Nettapplikasjoner blomstrer. Millioner av brukere bruker dem daglig for å underholde, studere og jobbe. Til tross for at tradisjonelle applikasjoner fortsatt er i kraft, og at mange også bruker dem, fortsetter trenden med å bruke nettversjonene. De er lette, effektive og bruker mye mindre ressurser generelt. Imidlertid beskytter vi servere tilstrekkelig? Denne guiden vil forklare alt om en av de store truslene: nett skjell .
Hva er et nett-shell?
Det er et ondsinnet skript som blir introdusert på systemene som blir angrepet. I de fleste tilfeller er webservere en del av målet. Når disse systemene har nettskallet, kan nettkriminellen ha fjernkontroll av det. Følgelig vil du ha vedvarende tilgang til systemet og kunne administrere det du vil. Dette betyr at nettskall har muligheten til å lage bakdører på kompromitterte systemer for å ha litt kontroll og til og med full kontroll.
Nettskall har også mye større rekkevidde. De kan også bryte nettverksenhetsadministrasjonsgrensesnitt. Så det er ekstremt viktig å ha god praksis for sikker nettverksadministrasjon. Fremfor alt, hvis det er de som har hundretusener av enheter koblet til hver dag. Fremveksten av telearbeid fører med seg sikkerhetsrisikoer, som, selv om de allerede er kjent, disse fortjener spesiell oppmerksomhet, fordi det å jobbe i et "sikkert" nettverksmiljø i et selskap ikke er det samme som å jobbe hjemmefra. Du kan imidlertid lure på om det ikke er nok å bruke VPN tjenester slik at vi kan få forbindelse med total sikkerhet til organisasjonsressursene våre, det er bare en del av hva en nettverksadministrator skal gjøre.
Deteksjon av et nett-skall
Den største vanskeligheten med å oppdage denne typen skadelig programvare er at angripere kan bruke krypteringsmetoder for å dekke opp sin ondsinnede aktivitet. Dette er en direkte følge av hvor enkelt manus kan skrives inn. Som vi vet, er det for cyberangrep uendelige muligheter, og beskyttelsesskjoldet til nettverkene må forsterkes mer og mer. Noen av de effektive deteksjonsmetodene er som følger:
- Sammenlign en annen versjon av webapplikasjonen med den som er i produksjon. Sistnevnte viser til applikasjonen som er tilgjengelig for brukere. Denne sammenligningen vil tjene til å analysere forskjellene når det gjelder tegn på uvanlig aktivitet.
- Finn avvik i webapplikasjonstrafikk ved hjelp av overvåkningsverktøy.
- Bruk signaturbasert gjenkjenning, det vil si bekrefte alle webskall som er endret. Selv om disse har gjennomgått en minimal modifisering.
- Finn trafikkstrømmer i nettverket som har uvanlige egenskaper.
Hvilke verktøy og hvilke prosedyrer skal jeg bruke for å oppdage prosessen med disse ondsinnede skriptene? Nedenfor deler vi viktige anbefalinger for å beskytte deg effektivt.
Slik beskytter du systemene og nettverkene dine mot nettskjell
Denne typen malware blir introdusert gjennom sårbarheter som finnes i:
- Web applikasjoner
- Dårlig praksis for serversikkerhetskonfigurasjoner
Som vi tidligere har kommentert, blir disse nettskjellene også introdusert direkte til systemene og nettverkene som er ofre, dette skjer hovedsakelig fordi nettapplikasjonene (for det meste) og deres sårbare infrastruktur har tillatelser til å gjøre endringer direkte til en webkatalog tilgjengelig, eller deler av nettkoden. Denne typen tillatelse bør imidlertid ikke gis.
Følgelig åpner systemene selv døren uten problemer for nettkriminelle å utføre angrepene. Så det anbefales å blokkere endringstillatelser. Hvis det ikke er en slik mulighet, er det et alternativ.
IDS / IPS-systemer og nettapplikasjonsbrannmur
Dette alternativet er å implementere en integritet overvåking ordningen for filene som er vert i applikasjonsinfrastrukturen. På denne måten vil administratorer ha den nødvendige synligheten for eventuelle endringer som kan oppstå i webkataloger og koder.
På den annen side en spesiell brannmur for nettapplikasjoner. Den er rettet mot de HTTP-baserte applikasjonene. Bruk en serie regler når en HTTP-samtale inntreffer. En ekstra og veldig bemerkelsesverdig fordel er at disse reglene som er spesifikke for disse brannmurene, også kan beskytte mot andre mer dødelige angrep som Cross-Site Scripting og SQL-injeksjoner, blant andre. Ifølge OWASP organisasjon, er denne typen brannmur rettet mot serverbeskyttelse. Akkurat som fullmakter beskytter verter (brukere). Faktisk, Web-applikasjonsbrannmurer er også betraktet som en type omvendt proxy .
NSA-ressurser
Dette velkjente amerikanske byrået har gjort et komplett depot tilgjengelig på Github . I dette depotet kan vi finne en lang liste over metoder og verktøy som kan hjelpe systemet ditt å beskyttes mot malware med web-shell. Et interessant poeng er at det ikke vil være nødvendig å gjøre store investeringer når det gjelder sikkerhetsløsninger.
Vi gir Microsoft PowerShell som et eksempel. I det delte depot finner du støtte for å oppdage nettskjell ved å bruke et "kjent godt" sammenligningsskjema. I tillegg kan du oppdage mistenkelige forespørsler i loggene til webservere.
Som vi ser, er det viktig å være klar over de viktigste sårbarhetene som presenteres ikke bare for webapplikasjonsservere, men også de som er koblet til tradisjonelle applikasjoner og til og med datanettverkene i seg selv. Når det gjelder cyberangrep, er det uendelige muligheter, og beskyttelsesskjoldet må være så robust som mulig. Heldigvis kan svært tilgjengelige online ressurser og verktøy hjelpe oss som administratorer for å forhindre mer enn en tragedie.
