Unter Ausnutzung einer Zero-Day-Schwachstelle in MOVEit Transfer haben Kriminelle Web-Shells auf anfälligen Dateiübertragungsservern bereitgestellt und sich Zugang zu einer Vielzahl bekannter Organisationen verschafft. Mehr als eine Woche nach der Veröffentlichung der Behebungsanweisungen hat Netcraft entdeckt, dass noch immer Web-Shells auf Servern von Energie-, Gesundheits- und Finanzunternehmen vorhanden sind.
Web-Shells sind Control Panels, die von Kriminellen verwendet werden, um Daten von kompromittierten Servern zu exfiltrieren, Exploits auszuführen und den Fernzugriff aufrechtzuerhalten, und die oft noch lange nach der Behebung der ursprünglichen Schwachstelle bestehen bleiben.
Die Nutzung von Zero-Day-Schwachstellen zur Installation von Web-Shells ist keine neue Taktik. Wir haben bereits im Jahr 2021 über Web-Shells berichtet, die über die Microsoft Exchange ProxyLogon- und ProxyShell-Schwachstellen installiert wurden. Zwei Jahre später erkennt Netcraft weiterhin neue Installationen von Web-Shells auf immer noch anfälligen Microsoft Exchange-Servern.
Anfang dieser Woche haben wir das Vorhandensein von Web-Shells auf Servern verschiedener Unternehmen bestätigt, darunter zwei Energieunternehmen und eine große staatlich anerkannte Kreditgenossenschaft. In diesem Blogbeitrag wird erklärt, was wir herausgefunden haben und warum Web-Shells nach wie vor ein so wichtiger Bestandteil des Werkzeugkastens von Cyberkriminellen sind.
Untersuchung des MOVEit-Hacks
Im Anschluss an früher Internet-ScansNetcraft untersuchte etwa tausend im Internet sichtbare Webserver, auf denen MOVEit Transfer ausgeführt wird, auf das Vorhandensein von Web-Shells mithilfe der beobachteten human2.aspx-Dateiname.
Betroffene Server können durch eine gefälschte 404 Not Found-Fehlerseite identifiziert werden, die von der Web-Shell verwendet wird. Ohne das richtige Passwort gibt die human2-Web-Shell eine nicht standardmäßige 404-Seite mit eindeutigem HTML-Inhalt zurück.
Mit dieser Technik haben wir das Vorhandensein von Web-Shells auf Hostnamen verschiedener Unternehmen bestätigt, die mit ziemlicher Sicherheit über die MOVEit-Schwachstelle dort platziert wurden. Netcraft hat mit einer ähnlichen Technik Web-Shells entdeckt, die über die Microsoft Exchange ProxyLogon- und ProxyShell-Schwachstellen installiert wurden.
Viele der betroffenen Unternehmen haben ihren Sitz in den USA, wir haben jedoch auch Fälle in Kanada, Oman und auf den Philippinen festgestellt. Zu den betroffenen Unternehmen gehören Unternehmen aus der Energie-, Gesundheits- und Finanzbranche. Aufgrund der großen Mengen sensibler Kundendaten und ihrer Position in den Lieferketten können sie attraktive Ziele für Ransomware darstellen.
Netcraft hat die betroffenen Unternehmen benachrichtigt und zum Zeitpunkt des Schreibens waren die meisten der erkannten Web-Shells nicht mehr zugänglich.
Was sind Web-Shells? Und warum sind sie so gefährlich?
Web-Shells sind die „Kontrollzentrale des Kriminellen“, die eine Reihe von Cyber-Angriffen über kompromittierte Server ermöglichen. Kriminelle können Spam-E-Mails versenden, Daten zum Verkauf oder für einen Ransomware-Angriff exfiltrieren und den Server zum Hosten anderer schädlicher Inhalte nutzen. Bei etwa einem Viertel der von Netcraft gefundenen Web-Shells finden wir auch andere Formen der Cyberkriminalität auf demselben Server, darunter Phishing, Website-Verunstaltung, Betrug bei Investitionen in Kryptowährungen und Malware.
Web-Shells können für unterschiedliche Zwecke konzipiert werden, und häufig installieren Kriminelle mehrere Shells auf einem kompromittierten Server, um verschiedene Aufgaben auszuführen. Besonders häufig kommt beispielsweise der Einsatz von „Mailern“ zum Versenden von E-Mails im Rahmen einer Phishing-Kampagne vor: Netcraft hat festgestellt, dass Web-Shell-Mailer in den letzten drei Monaten zum Versenden von Phishing-E-Mails verwendet wurden, bei denen sich über hundert Marken ausgab.
Web-Shells werden auch als Methode zum Verkauf dauerhaften administrativen Zugriffs auf einen kompromittierten Server verwendet. Erstzugangsvermittler betreiben Marktplatz-Websites, auf denen Benutzer Fernzugriff kaufen oder verkaufen können. Diese Auflistungen enthalten anonymisierte Informationen über den Server, einschließlich Hosting-Anbieter, Betriebssystem und sogar SEO-Statistiken.
Allein das Entfernen des schädlichen Inhalts oder das Patchen des anfälligen Dienstes bedeutet, dass ein Angreifer einfach wieder auf die Website zugreifen und den Inhalt erneut bereitstellen kann. Lange nachdem die zugrunde liegende Schwachstelle behoben wurde, ermöglichen Web-Shells weiterhin den administrativen Zugriff auf den Server.
Wie kann Netcraft helfen?
Netcraft erkennt und stört seit 2016 Web-Shells als Teil unserer Plattform zur Erkennung, Störung und Beseitigung von Cyberkriminalität. In dieser Zeit haben wir eine halbe Million Web-Shells deaktiviert. Allein in den letzten drei Monaten haben wir mehr als 155.000 Web-Shells über mehr als 27.500 verschiedene IPs und 40.000 verschiedene Hostnamen entdeckt.
Da Web-Shells eng mit anderen Arten von Cyberkriminalität verbunden sind, werden durch die Entfernung verknüpfter Web-Shells bei der Bekämpfung von Phishing, Betrug und Malware, die sich als legitime Organisation ausgibt, Cyberkriminellen die verfügbaren Tools entzogen und künftige Angriffe von derselben Infrastruktur aus erschwert.
Hosting- und Netzwerkanbieter können die Plattform von Netcraft auch nutzen, um Bedrohungsdaten zu empfangen, die sie benachrichtigen, wenn Web-Shells (oder andere Malware oder Phishing-Aktivitäten) in ihrer Infrastruktur erkannt werden. Der Zugriff auf zeitnahe, validierte Warnungen vor Cyberangriffen, die über ihre Infrastruktur erfolgen, kann Registraren und Hosting-Unternehmen dabei helfen, die Integrität ihres Netzwerks und den Ruf ihrer Marke zu wahren.
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/liberation/X3KFKCKRQJBUFEQDIXYAV5GUDE.jpg?fit=300%2C300&ssl=1)
