С начала 2025 года специалисты Threat Intelligence компании F6 зафиксировали более чем двукратный рост числа веб-шеллов, выставленных на продажу после загрузки на сайты в доменной зоне .by, по сравнению с аналогичным периодом 2024 года. Подробнее об этой тенденции, обнаруженной на теневом рынке в первом квартале 2025 года, рассказал аналитик Threat Intelligence компании F6 Владислав Куган.
Веб-шелл — это вредоносный скрипт, который предоставляет злоумышленникам удалённый доступ к серверу через веб-интерфейс. Обычно веб-шелл загружается на сервер через уязвимости в веб-приложениях, например, через форму загрузки файлов.
Скрипт может быть написан на PHP, ASP, Python или Perl и позволяет выполнять произвольные команды на сервере, манипулировать файловой системой, устанавливать дополнительное ВПО или использовать сервер для проведения дальнейших атак.
Статистика
Рост распространения веб-шеллов в доменной зоне .by, национальном домене верхнего уровня для Республики Беларусь, может свидетельствовать о возрастающем интересе к эксплуатации уязвимостей веб-приложений и недостатках в защите сайтов, зарегистрированных в этом регионе. Недостаточная защита ресурсов делает их особо привлекательной целью для киберпреступников, использующих такие инструменты для несанкционированного доступа и компрометации данных.
Сайты с загруженными веб-шеллами принадлежат компаниям и организациям, работающим в таких сферах, как IT и интернет-услуги, медицина и ветеринария, производство, строительство, сельское хозяйство, образование и СМИ, обслуживание и торговля.
Перечень веб-ресурсов показывает значительное расширение числа атакованных отраслей по сравнению с первым кварталом 2024 года, когда наибольшее количество атак было зафиксировано в IT, строительной, торговой и промышленной сферах.
При этом изменение ландшафта атак также привело к процентному смещению их направленности. Если в первом квартале 2024 года взломанные ресурсы организаций в сферах IT и интернет-услуг составляли 37% от общего числа выставленных на продажу, то в январе-марте 2025 года их доля снизилась до 24%. Это может свидетельствовать о том, что компании из этих отраслей стали лучше защищаться, в то время как злоумышленники начали фокусироваться на менее защищенных секторах.
Тем не менее IT-сектор по-прежнему остается на первом месте, что может быть связано с возможностью использования инфраструктуры организаций из этой сферы для дальнейших атак на цепочку поставок.
Одним из наиболее значимых изменений 2025 года стало увеличение доли взломанных ресурсов в таких отраслях, как медицина и ветеринария (18%), торговля и интернет-магазины (15%), а также строительство и ремонт (12%). Кроме того, зафиксирован рост атак в таких секторах, как сельское хозяйство (9%), образование (3%) и СМИ (3%). В этих сферах традиционно уделяют меньше внимания кибербезопасности, что в свою очередь делает их наиболее легкой добычей для злоумышленников.
Продажа веб-шеллов
На теневых форумах и маркетплейсах даркнета цены на веб-шеллы, загруженные на сайты, варьируются от 5 до нескольких тысяч долларов. Их стоимость определяется уровнем доступа, скрытностью, функциональными возможностями и ценностью информации, хранящейся на скомпрометированном сервере. Наибольший интерес для злоумышленников представляют учётные записи с внутренними балансами, реквизиты банковских карт, персональные данные клиентов, корпоративные сведения и доступ к административным панелям крупных онлайн-сервисов. Дополнительную стоимость может придавать возможность шифрования данных для последующего вымогательства.
Анализ, проведённый специалистами F6 Threat Intelligence, выявил, что большинство ресурсов, на которых обнаружены веб-шеллы, подвержено уязвимостям, связанным с нарушением контроля доступа и использованием уязвимых или устаревших компонентов. Эти проблемы входят в число наиболее распространённых и опасных для веб-приложений.
Большинство уязвимых и устаревших компонентов, используемых злоумышленниками, содержится в популярных системах управления контентом (CMS), таких как WordPress, Joomla, Drupal и OpenCart. Эти платформы широко распространены и регулярно подвергаются атакам, особенно если их владельцы не устанавливают своевременные обновления. Устаревшие плагины, некорректная настройка прав доступа, публично доступные конфигурационные файлы и незащищённые интерфейсы администрирования — всё это делает сайты уязвимыми для взлома и последующей загрузки веб-шеллов.
Загруженный на ресурс веб-шелл действует как командный интерпретатор, через который злоумышленник получает доступ к файловой системе и может запускать команды с привилегиями, которые имеет веб-сервер. Это может включать в себя скрытые каналы для обхода защиты, шифрование трафика для маскировки действий и выполнение команд с правами администратора. Для маскировки веб-шеллы могут использовать кодирование, нестандартные расширения файлов или скомпилированные библиотеки.
После обнаружения и эксплуатации очередной критической уязвимости в популярных CMS или их плагинах наблюдается резкий рост продаж веб-шеллов и доступов на теневых форумах. Это связано с тем, что злоумышленники, использующие автоматизированные инструменты, массово компрометируют сайты и затем продают доступ к ним или самостоятельно используют их для дальнейших атак. Таким образом, каждая новая найденная уязвимость в CMS провоцирует волну атак и увеличение числа взломанных сайтов, что подтверждается ростом предложений на теневых форумах.
Вывод
Описанные в материале уязвимости, с использованием которых на веб-ресурсы были установлены веб-шеллы, не являются исчерпывающими. В действительности злоумышленники постоянно адаптируются, находя новые способы компрометации серверов, включая эксплуатацию 0-day уязвимостей, инъекции, ошибки в конфигурации серверов, уязвимости в сторонних плагинах и модулях.
Веб-шеллы остаются ключевым инструментом постэксплуатации, обеспечивая злоумышленникам устойчивый доступ к скомпрометированным веб-ресурсам и создавая плацдарм для дальнейших атак — от эскалации привилегий и распространения вредоносного кода до использования серверов в ботнетах. Рост их продаж на теневых форумах указывает на возрастающий спрос и распространённость подобных угроз. По мере выявления новых уязвимостей и развития атакующих техник количество веб-шеллов в обороте будет только увеличиваться, что требует усиленных мер защиты и мониторинга.
ссылка на оригинал статьи https://habr.com/ru/articles/897596/
Добавить комментарий