Уеб обвивки, често срещан вид инструмент за последващо експлоатиране, който предоставя лесен за използване интерфейс за издаване на команди към компрометиран сървър, стават все по-популярни, тъй като нападателите стават все по-наясно с облаците, твърдят експерти.

Уеб обвивка, известна като WSO-NG, наскоро е била забелязана да маскира сайта си за вход като заставка 404 „Страницата не е намерена“, да събира информация за потенциални цели чрез легитимни услуги като VirusTotal и да сканира за метаданни, свързани с Amazon Web Services, като път за кражба на идентификационните данни на разработчиците, заявява фирмата за управление на интернет Akamai в анализ, публикуван на 22 ноември. Други уеб обвивки са били използвани от бандите за рансъмуер Cl0p и C3RB3R, като последната използва сървъри, работещи с корпоративния сървър Atlassian Confluence, в кампания за масова експлоатация по-рано този месец.

Уеб обвивките се превърнаха в лесен за използване начин за издаване на команди на компрометирани сървъри, тъй като нападателите все по-често се насочват към облачни ресурси – казва Максим Заводчик, директор проучвания на заплахите в Akamai.

„Днес повърхността за атаки, която уеб приложенията – а не само API – позволяват, е наистина голяма“, казва той. „Така че, когато се експлоатира уеб уязвимост, най-лесната следваща стъпка ще бъде да се внедри уеб платформа – имплант, нещо, което не е двоично, а говори на същия език като уеб сървъра.“

Akamai се фокусира върху WSO-NG след използването му в мащабна кампания, насочена към магазини за електронна търговия Magento 2, но други групи използват различни уеб обвивки. Групата за рансъмуер Cl0p например се е отказала от уеб обвивки съответно DEWMODE и LEMURLOOT, след като е използвала уязвимости в Kiteworks Accellion FTA през 2020 г. и в услугата за управляван трансфер на файлове MOVEit на Progress Software през май, според анализ от юни 2023 г. на мрежовата фирма F5.

През 2021 г. Microsoft отбеляза, че използването на уеб обвивки е нараснало драстично, като компанията е забелязала почти двойно повече срещи на уеб обвивки на наблюдавани сървъри в сравнение с предходната година, посочва компанията в анализ. По-нови данни не са налични.

„Уеб обвивките позволяват на нападателите да изпълняват команди на сървърите, за да крадат данни или да използват сървъра като [стартова] площадка за други дейности като кражба на удостоверения, странично придвижване, внедряване на допълнителни товари или дейности, свързани с ръцете на клавиатурата, като същевременно позволяват на нападателите да продължат да работят в засегнатата организация“, заяви Microsoft в своя анализ.

Незабележими и анонимни

Една от причините, поради които нападателите са се насочили към уеб обвивките, е тяхната способност да останат под радара. Уеб обвивките са трудни за откриване с техники за статичен анализ, тъй като файловете и кодът се модифицират много лесно. Освен това трафикът на уеб обвивката – тъй като е само HTTP или HTTPS – се смесва с него, което го прави труден за откриване чрез анализ на трафика, казва Заводчик от Akamai.

„Те комуникират на същите портове и това е просто още една страница на уебсайта“, казва той. „Това не е като класическия зловреден софтуер, който ще отвори връзката обратно от сървъра към нападателя. Нападателят просто разглежда уебсайта. Няма злонамерена връзка, така че от сървъра към нападателя не преминават никакви аномални връзки“.

Освен това, тъй като има толкова много готови уеб обвивки, нападателите могат да ги използват, без да подсказват на защитниците за своята самоличност. Уеб обвивката WSO-NG, например, е достъпна в GitHub. И Kali Linux е с отворен код; това е дистрибуция на Linux, фокусирана върху предоставянето на лесни за използване инструменти за червени екипи и офанзивни операции, и предоставя 14 различни уеб обвивки, като дава на тестващите проникването възможност да качват и изтеглят файлове, да изпълняват команди, както и да създават и правят справки в бази данни и архиви.

„Когато участниците в APT заплахите … преминат от специално пригодени бинарни импланти към уеб обвивки – или техни собствени уеб обвивки, или някои общи уеб обвивки – никой не би могъл да припише тези фактори на конкретните групи“, казва Заводчик.

Защитавайте се с подозрителна бдителност

Най-добрата защита е наблюдението на уеб трафика за подозрителни модели, аномални параметри на URL адреси и непознати URL адреси и IP адреси. Проверката на интегритета на сървърите също е ключова защитна тактика, пише Малкълм Хийт, старши изследовател на заплахи във F5 Networks, в публикация от юни за Web shells.

„Мониторингът на съдържанието на директориите също е добър подход и съществуват някои програми, които могат незабавно да откриват промени в наблюдаваните директории и автоматично да връщат промените назад“, заявява компанията. „Освен това някои защитни инструменти позволяват откриването на аномално създаване на процеси“.

Други методи включват фокусиране върху откриването на първоначалния достъп и разгръщането на уеб обвивка. Защитните стени за уеб приложения (WAF), с тяхната способност да разглеждат потоците от трафик, също са солидни защитни мерки.