Microsoft rapporte que les Web Shells malveillants ont doublé en 2020
L'équipe de sécurité de détection et de réponse de Microsoft a signalé une augmentation spectaculaire des détections de coquilles Web malveillantes au cours de 2020. Cette augmentation montre une tendance continue qui est devenue plus significative au cours des derniers mois.
Le nombre mensuel moyen d'instances de shell Web malveillantes détectées par l'équipe de sécurité de Microsoft au cours des mois d'août 2020 à janvier 2021 est passé de 77000 à 140000 sur une base annuelle.
L'équipe de recherche explique cette augmentation par la grande flexibilité et l'utilité que les web shells offrent aux acteurs malveillants. Les shells Web malveillants sont codés à l'aide de langages de programmation Web standard tels que ASP, JSP et JS et sont très faciles à masquer dans le code normal.
Ils sont généralement difficiles à trouver sans qu'un opérateur humain ne passe par la masse du code du serveur et permettent aux mauvais acteurs d'exécuter du code et des commandes sur le serveur compromis à distance.
Les shells Web utilisent souvent des vulnérabilités connues et corrigées et se faufilent sur des serveurs qui n'ont pas encore été corrigés.
Microsoft a également souligné le danger que les web shells soient utilisés comme mécanismes pour assurer la persistance malveillante sur un réseau.
Une fois déployé et non détecté, un shell Web peut servir de porte dérobée que les mauvais acteurs peuvent utiliser pour déployer d'autres outils malveillants sur le réseau et extraire des informations sensibles des systèmes compromis. Il n'est pas rare qu'un shell Web soit utilisé comme point focal d'une attaque à grande échelle sur un réseau compromis.
Le déploiement rapide de nouveaux serveurs pour compenser la demande accrue de fonctionnalités cloud et de stockage offre également aux acteurs malveillants de nombreuses nouvelles cibles d'attaque.
L'augmentation du nombre de coquilles Web malveillantes détectées a également été attribuée en partie à l'augmentation du nombre de nouvelles instances de serveur liées à la pandémie mondiale de Covid 2020.
