Уязвимость одного казахстанского сайта стала причиной компрометации еще 40 сайтов

Национальная служба реагирования на компьютерные инциденты KZ-CERT обнаружила веб-шелл на одном из интернет-ресурсов частных образовательных учреждений, сообщает prosud.kz.

Веб-шелл (web-shell) — вредоносный скрипт, который представляет собой серьезную угрозу безопасности, используется злоумышленниками для управления интернет-ресурсами или веб-серверами.

Для размещения скрипта чаще всего используются уязвимости в коде сайта или подбор паролей.  Загрузка веб-шелла осуществляется из-за уязвимостей приложения или неправильной конфигурации.

В ходе анализа инцидента информационной безопасности специалисты выявили более 40 интернет-ресурсов, которые находятся на веб-сервере и, вероятно, уже были скомпрометированы.

Веб-шелл поддерживает 22 различных набора символов и шифрует исходный код с помощью ключа при загрузке, но не содержит этот ключ в полученном файле. Кроме того, веб-шелл имеет скрытый режим и позволяет работать с различными задачами без перезагрузки страницы и потери данных, – пресс-служба Государственной технической службы

Таким образом, в ходе дальнейшего анализа специалисты KZ-CERT выявили, что веб-шелл позволяет просматривать содержимое конфигурационных файлов, в которых размещена конфиденциальная информация.

KZ-CERT направило уведомления владельцу и оператору связи о необходимости незамедлительного устранения инцидента информационной безопасности, своевременное выявление и устранение которого имеет решающее значение для предотвращения потенциальной компрометации.

Зачастую веб-шеллы трудно обнаружить по причине несложной модификации. Антивирусные продукты иногда не справляются с их обнаружением. Необходимо обратить внимание, что некоторые из этих индикаторов являются общими для легитимных файлов. Подозрительные вредоносные файлы следует рассматривать в контексте других индикаторов и сортировать, чтобы определить, требуется ли дальнейшая проверка, – пресс-служба Государственной технической службы

На активность веб-шелла также может указывать признак, когда злоумышленник часто посещает только тот URL, где создан сценарий веб-шелла. Обычный пользователь загружает веб-страницу со связанной страницы или загружает дополнительный контент или ресурсы. Таким образом, частотный анализ журналов веб-доступа может указывать на местонахождение веб-шелла. Большинство легитимных обращений будут содержать различные пользовательские агенты, тогда как веб-шелл может посещаться только злоумышленником, что приводит к ограниченным вариантам пользовательских агентов.