ทำความเข้าใจเกี่ยวกับเว็บเชลล์ในความปลอดภัยทางไซเบอร์
เว็บเชลล์คืออะไร?
เว็บเชลล์คือสคริปต์หรือไฟล์ฝั่งเซิร์ฟเวอร์ที่สามารถให้การเข้าถึงระยะไกลไปยังเว็บเซิร์ฟเวอร์หลังจากที่ถูกวางไว้ในตำแหน่งที่เข้าถึงได้ผ่านเว็บ ในการอภิปรายด้านความปลอดภัยทางไซเบอร์ คำนี้มักจะเกี่ยวข้องกับเว็บไซต์ที่ถูกบุกรุก แอปพลิเคชันที่ถูกเปิดเผย และการเข้าถึงหลังการบุกรุก มากกว่าการดูแลเว็บไซต์ตามปกติ หน่วยงานของรัฐเช่น CISA อธิบายว่าเว็บเชลล์เป็นภัยคุกคามทั่วไปบนเว็บเซิร์ฟเวอร์ที่ถูกบุกรุก เนื่องจากสามารถให้ผู้โจมตีมีวิธีโต้ตอบกับสภาพแวดล้อมที่ได้รับผลกระทบอย่างต่อเนื่อง
เว็บเชลล์ใช้ทำอะไร?
วัตถุประสงค์ของเว็บเชลล์ขึ้นอยู่กับการอนุญาตเป็นอย่างมาก ในเหตุการณ์ที่เป็นอันตราย เว็บเชลล์อาจถูกใช้เพื่อรักษาการเข้าถึง สำรวจเซิร์ฟเวอร์ เคลื่อนที่ลึกเข้าไปในเครือข่าย ขโมยข้อมูล หรือสนับสนุนขั้นตอนต่อๆ ไปของการโจมตี Microsoft ได้รายงานว่าเว็บเชลล์สามารถอนุญาตให้ผู้โจมตีรันคำสั่งบนเซิร์ฟเวอร์และใช้ระบบเหล่านั้นเป็นจุดเริ่มต้นสำหรับการขโมยข้อมูลประจำตัว การเคลื่อนที่ในแนวราบ เพย์โหลดเพิ่มเติม หรือกิจกรรมการควบคุมโดยตรง สำหรับผู้ป้องกัน หัวข้อเดียวกันนี้จะถูกศึกษาเพื่อทำความเข้าใจพฤติกรรมของผู้โจมตี ปรับปรุงการตรวจจับ และลบการเข้าถึงที่ไม่ได้รับอนุญาตออกจากระบบที่ได้รับผลกระทบเท่านั้น
ใครเป็นผู้ใช้หรือศึกษาพวกมัน?
เว็บเชลล์มักเกี่ยวข้องกับผู้คุกคาม กลุ่มอาชญากรไซเบอร์ และแคมเปญการบุกรุกที่มุ่งเป้าไปที่ระบบที่เชื่อมต่อกับอินเทอร์เน็ตที่เปราะบาง นอกจากนี้ยังมีการศึกษาโดยทีมตอบสนองต่อเหตุการณ์ นักวิเคราะห์มัลแวร์ นักวิจัยข่าวกรองภัยคุกคาม และผู้ทดสอบการเจาะระบบที่ได้รับอนุญาตซึ่งทำงานภายใต้ขอบเขตทางกฎหมายที่กำหนดไว้อย่างชัดเจน ความแตกต่างไม่ใช่แค่ชื่อเรียก แต่ขึ้นอยู่กับว่ากิจกรรมนั้นได้รับอนุญาต มีการบันทึกไว้ และจำกัดเฉพาะระบบที่ผู้ทดสอบได้รับอนุญาตอย่างชัดเจนหรือไม่
เว็บเชลล์ผิดกฎหมายหรือไม่?
เว็บเชลล์ไม่ได้เป็นอาชญากรรมโดยอัตโนมัติในฐานะแนวคิดหรือหัวข้อการวิจัย แต่การติดตั้ง การเข้าถึง หรือการใช้งานบนระบบโดยไม่ได้รับอนุญาตอาจผิดกฎหมาย เขตอำนาจศาลหลายแห่งถือว่าการเข้าถึงคอมพิวเตอร์โดยไม่ได้รับอนุญาตเป็นความผิดทางอาญา ตัวอย่างเช่น กฎหมายว่าด้วยการฉ้อโกงและการใช้คอมพิวเตอร์ในทางที่ผิดของสหรัฐฯ มุ่งเน้นไปที่การเข้าถึง 'โดยไม่ได้รับอนุญาต' หรือการเข้าถึงเกินขอบเขตที่ได้รับอนุญาต ในขณะที่กฎหมายว่าด้วยการใช้คอมพิวเตอร์ในทางที่ผิดของสหราชอาณาจักรรวมถึงความผิดฐานเข้าถึงข้อมูลคอมพิวเตอร์โดยไม่ได้รับอนุญาต กฎหมายแตกต่างกันไปตามประเทศ ดังนั้นองค์กรควรขอคำแนะนำทางกฎหมายก่อนดำเนินการทดสอบความปลอดภัยใดๆ
ทำไมพวกมันถึงสำคัญสำหรับเจ้าของเว็บไซต์
เจ้าของเว็บไซต์ควรจัดการกับเว็บเชลล์ที่ไม่คาดคิดในฐานะเหตุการณ์ด้านความปลอดภัยที่ร้ายแรง สคริปต์ขนาดเล็กที่ซ่อนอยู่อาจแสดงถึงการบุกรุกที่ใหญ่กว่ามาก โดยเฉพาะอย่างยิ่งหากแอปพลิเคชันเว็บที่ได้รับผลกระทบสามารถเข้าถึงข้อมูลผู้ใช้ บัญชีผู้ดูแลระบบ พื้นที่จัดเก็บไฟล์ หรือระบบภายใน MITRE ATT&CK ติดตามเว็บเชลล์ภายใต้เทคนิคส่วนประกอบซอฟต์แวร์เซิร์ฟเวอร์ T1505.003 ซึ่งสะท้อนถึงวิธีที่สามารถนำไปใช้เพื่อการคงอยู่บนเซิร์ฟเวอร์ที่ถูกบุกรุก
คำแนะนำด้านความปลอดภัยที่รับผิดชอบ
เนื้อหาที่มีความรับผิดชอบเกี่ยวกับเว็บเชลล์ควรเป็นเชิงการศึกษา เชิงป้องกัน และไม่ใช่เชิงแนะนำ การครอบคลุมที่ปลอดภัยสามารถอธิบายได้ว่าเว็บเชลล์คืออะไร ทำไมถึงมีความเสี่ยง องค์กรคิดอย่างไรเกี่ยวกับการตอบสนองต่อเหตุการณ์ และทำไมการอนุญาตจึงสำคัญ ควรหลีกเลี่ยงการเผยแพร่โค้ดที่ใช้งานได้ ขั้นตอนการติดตั้ง วิธีการหลบเลี่ยง หรือคำแนะนำที่อาจช่วยให้ใครบางคนเข้าถึงโดยไม่ได้รับอนุญาต กรอบการทำงานที่ปลอดภัยที่สุดนั้นชัดเจน: ความรู้เรื่องเว็บเชลล์เป็นของการวิจัยด้านความปลอดภัยที่ถูกกฎหมาย การตรวจสอบเชิงป้องกัน การตอบสนองต่อเหตุการณ์ และการทดสอบที่ได้รับอนุญาตอย่างเหมาะสม