Khi nói đến các cuộc tấn công mạng, web shell đóng vai trò quan trọng trong kho vũ khí của tội phạm mạng. Chúng có thể cung cấp quyền truy cập liên tục, bí mật vào các hệ thống bị xâm phạm, khiến chúng trở thành công cụ được ưa chuộng để duy trì quyền kiểm soát lâu dài đối với các mạng bị nhiễm. Trong bài đăng trên blog sau, chúng tôi sẽ giải thích cách máy quét APT THOR của chúng tôi đảm bảo phát hiện các mối đe dọa như vậy và tại sao điều này lại cần thiết để duy trì các biện pháp phòng thủ an ninh mạng mạnh mẽ.
Hiểu về vai trò của Web Shell
Web shell là công cụ đa năng được sử dụng cho nhiều hoạt động độc hại, bao gồm rò rỉ dữ liệu, leo thang đặc quyền, di chuyển ngang trong mạng và phát động các cuộc tấn công tiếp theo. Bản chất ẩn của chúng, thường ẩn trong lưu lượng truy cập web hợp pháp, khiến chúng khó bị phát hiện bằng các biện pháp bảo mật truyền thống, làm phức tạp quá trình ứng phó và dọn dẹp sự cố.
Trong tay tội phạm mạng, web shell hoạt động như một cổng khai thác. Chúng cho phép kẻ tấn công thiết lập chỗ đứng trong các hệ thống bị xâm phạm, cho phép truy cập và kiểm soát từ xa. Chỗ đứng này sau đó có thể được sử dụng để thực hiện vô số hành động độc hại, từ đánh cắp dữ liệu nhạy cảm đến triển khai ransomware hoặc tiến hành trinh sát cho các cuộc tấn công trong tương lai.
Hơn nữa, web shell không giới hạn ở một loại tấn công hoặc mục tiêu cụ thể. Chúng có khả năng thích ứng cao và có thể triển khai trên nhiều nền tảng và môi trường khác nhau, khiến chúng trở thành mối đe dọa dai dẳng trong bối cảnh kỹ thuật số kết nối ngày nay.
Những hạn chế của giải pháp diệt virus
Trong khi các giải pháp diệt vi-rút (AV) truyền thống đóng vai trò quan trọng trong an ninh mạng bằng cách xác định và loại bỏ phần mềm độc hại đã biết, chúng thường không phát hiện được web shell. Không giống như phần mềm độc hại thông thường, hoạt động như các tệp thực thi hoặc tập lệnh độc lập, web shell đôi khi được nhúng trong các ứng dụng hoặc tệp web hợp pháp, khiến chúng khó bị phát hiện hơn khi sử dụng các phương pháp phát hiện dựa trên chữ ký.
Hơn nữa, tội phạm mạng liên tục phát triển các chiến thuật của chúng để tránh bị các giải pháp AV phát hiện. Chúng sử dụng các kỹ thuật che giấu hoặc mã hóa và đa hình để ngụy trang các web shell của chúng, khiến AV truyền thống trở nên không hiệu quả trước các mối đe dọa tiên tiến này.
Tầm quan trọng của các công cụ chuyên dụng
Để chống lại hiệu quả các cuộc tấn công web shell, các tổ chức cần bổ sung các giải pháp bảo mật hiện có của mình bằng các công cụ chuyên dụng được thiết kế để phát hiện và giảm thiểu các mối đe dọa này. Các giải pháp như máy quét APT THOR của chúng tôi sử dụng một bộ quy tắc chung lớn kết hợp các mẫu nhỏ nhất được tìm thấy trong các web shell phổ biến để phát hiện các web shell mới, đã sửa đổi hoặc được nhúng và có các quy tắc cụ thể để phát hiện chính sự che giấu.
Để chứng minh hiệu quả của THOR trong việc phát hiện web shell, chúng tôi đã tiến hành một nghiên cứu so sánh gần đây. Chúng tôi đã so sánh phạm vi phát hiện web shell giữa THOR và 70 giải pháp diệt vi-rút trên VirusTotal. Nghiên cứu này sử dụng kho lưu trữ web shell lớn nhất và được kính trọng nhất trên GitHub, do Tencent quản lý. Bằng cách phân tích các tệp được THOR hoặc bất kỳ giải pháp diệt vi-rút nào trên VirusTotal xác định là web shell, chúng tôi thấy rằng THOR luôn vượt trội hơn các giải pháp khác trong việc phát hiện web shell.
Phương pháp: So sánh công bằng và trung lập
Để đảm bảo so sánh khách quan, chúng tôi đã sử dụng kho lưu trữ web shell lớn nhất và phổ biến nhất trên GitHub, do Tencent quản lý. Kho lưu trữ này được đánh giá cao và sử dụng rộng rãi, cung cấp cơ sở đáng tin cậy cho phân tích của chúng tôi.
Những điểm chính:
- Cơ sở trung lập: Chúng tôi cố tình không sử dụng bộ sưu tập web shell của riêng mình. Thay vào đó, chúng tôi dựa vào kho lưu trữ của Tencent để tránh bất kỳ sự thiên vị nào.
- Tiêu chí phát hiện: Chỉ những tệp được THOR hoặc bất kỳ giải pháp diệt vi-rút nào trong số 70 giải pháp trên VirusTotal xác định là web shell mới được đưa vào. Phương pháp này loại bỏ các tệp không liên quan như README, thư viện, hình ảnh và tệp CSS.
- Dữ liệu hiện tại: Tất cả các tệp đã được tải lên và phân tích lại trên VirusTotal vào ngày 13 tháng 5 năm 2024, đảm bảo phát hiện phần mềm diệt vi-rút được cập nhật.
- Phiên bản được sử dụng
- THOR: Phiên bản 10.7.15, Bản dựng: c114b1893902 (2024-03-25 10:29:36)
- Cơ sở dữ liệu chữ ký: 2024/05/06-133122
- Các tệp dữ liệu từ phân tích của chúng tôi có sẵn để xem xét:
- THORcsv: Đầu ra CSV của THOR, chỉ đếm các băm MD5 trùng lặp một lần
- webshell-vt-hash-db.json: Đầu ra của Munin từ tìm kiếm VirusTotal
Những điểm chính
- Phát hiện vượt trội: THOR phát hiện web shell tốt hơn bất kỳ giải pháp nào khác trên thị trường.
- Bảo mật toàn diện: Những phát hiện của chúng tôi nhấn mạnh nhu cầu về nhiều thứ hơn là chỉ AV cho một kiến trúc bảo mật linh hoạt.
So sánh phạm vi phát hiện của web shell giữa THOR của Nextron và các nhà cung cấp phần mềm diệt vi-rút trên Virustotal.
Phần kết luận
Tại Nextron, chúng tôi nhận ra tầm quan trọng của việc phát hiện web shell trong bối cảnh đe dọa ngày nay. Trong khi các giải pháp diệt vi-rút (AV) truyền thống tập trung vào việc xác định và loại bỏ phần mềm độc hại đã biết, thì trình quét APT THOR của chúng tôi lại vượt trội trong việc phát hiện dấu vết của hoạt động tấn công, chẳng hạn như che giấu, web shell, cửa hậu cấu hình, cửa hậu không có phần mềm độc hại, đầu ra của các công cụ hack, phần còn lại của phần mềm độc hại và các bất thường trong tệp hệ thống.
Để biết thêm thông tin chi tiết về APT THOR, vui lòng liên hệ contact@smartnet.net.vn