Microsoft meldt verdubbeling van kwaadaardige webshells in 2020

Het Detection and Response-beveiligingsteam van Microsoft meldde een dramatische toename van het aantal kwaadwillende webshell-detecties in de loop van 2020. Deze stijging laat een aanhoudende trend zien die de afgelopen maanden belangrijker is geworden.
Het maandelijkse gemiddelde aantal kwaadaardige webshell-instanties dat door het beveiligingsteam van Microsoft in de loop van de maanden tussen augustus 2020 en januari 2021 werd gedetecteerd, steeg van 77.000 tot 140.000 op jaarbasis.
Het onderzoeksteam verklaart deze toename met de grote flexibiliteit en bruikbaarheid die webshells kwaadwillende actoren bieden. Kwaadaardige webshells worden gecodeerd met behulp van standaard webprogrammeertalen zoals ASP, JSP en JS en zijn heel gemakkelijk te verbergen in normale code.
Ze zijn meestal moeilijk te vinden zonder dat een menselijke operator de massa servercode doorneemt en slechte actoren de mogelijkheid bieden om code en opdrachten op afstand uit te voeren op de gecompromitteerde server.
Webshells maken vaak gebruik van bekende en opgeloste kwetsbaarheden en sluipen naar servers die nog niet zijn gepatcht.
Microsoft schetste ook het gevaar dat webshells worden gebruikt als mechanismen om kwaadwillende persistentie op een netwerk te waarborgen.
Eenmaal geïmplementeerd en niet gedetecteerd, kan een webshell dienen als een achterdeur die slechte actoren kunnen gebruiken om verdere kwaadaardige tools op het netwerk te implementeren en gevoelige informatie van de gecompromitteerde systemen te verzamelen. Het is niet ongebruikelijk dat een webshell wordt gebruikt als het brandpunt van een grootschalige aanval op een gecompromitteerd netwerk.
De snelle inzet van nieuwe servers om de toegenomen vraag naar cloudfunctionaliteit en opslag te compenseren, geeft kwaadwillende actoren ook veel nieuwe doelwitten voor aanvallen.
De toename van gedetecteerde kwaadaardige webshells werd ook gedeeltelijk toegeschreven aan de toename van nieuwe serverinstanties die met de wereldwijde Covid-pandemie van 2020 kwamen.