Webshell là gì? Chức năng và cách thức hoạt động Webshell như thế nào
Ngày nay, thực trạng website đã và đang bị hacker tấn công ngày càng nhiều, khi đó hacker có thể thay đổi toàn bộ các tệp tin trên hệ thống bằng cách khai thác các lỗ hổng tồn tại trên website và tải lên các backdoor để chiếm quyền kiểm soát hoàn toàn các website này. Webshell được biết đến là một trong những hình thức của backdoor mà tin tặc hay sử dụng. Cùng Bizfly Cloud tìm hiểu chi tiết thông tin ngay tại bài viết dưới đây.
Webshell là gì?
WebShell là 1 dạng mã độc, backdoor sở hữu nhiều chức năng khác nhau, giúp hỗ trợ cho quá trình xâm nhập và chiếm lấy quyền quản lý hệ thống các website của các hacker.
Một webshell sẽ một script có thể sẽ được tải lên một web server cho phép điều khiển và quản lý từ xa.Trường hợp các web servers bị nhiễm độc (bị hacker tải webshell lên) có thể là nơi mà các web shells được sử dụng để đi sâu hơn vào các máy chủ(host) nội bộ như mạng internet hoặc mạng nội bộ.
Một webshell có thể được viết bằng ngôn ngữ bất kỹ nào mà web servers đích hỗ trợ. Hơn thế, các webshell phổ biến nhất sẽ được viết bằng những ngôn ngữ phổ biến, ví dụ: PHP, ASP, Perl, Ruby, Python và Unix shell script…
Khi sử dụng các công cụ thăm dò mạng, hacker có thể xác định các lỗ hổng mà có thể tấn công được sau đó tiến hành cài đặt webshell. Và những lỗ hổng này có thể tồn tại trong các hệ thống quản lý nội dung(CMS) hoặc phần mềm web server.
Sau khi đã tải lên thành công, hacker nâng cao đặc quyền và ra lệnh từ xa bằng cách sử dụng webshell để tận dụng các kỹ thuật khai thác. Đặc biệt, các lệnh này liên quan trực tiếp đến các đặc quyền và chức năng sẵn có của web server, kèm theo đó là khả năng: thêm, sửa, xóa và thực thi các files cũng như các khả năng chạy các shell commands, các tệp thực thi, scripts.
Tóm lại, một WebShell không thể tấn công hoặc khai thác lỗ hổng từ xa. Vì vậy đây chính là bước thứ hai của một cuộc tấn công. Và giai đoạn này thường được gọi là hậu khai thác.
WebShell giúp hỗ trợ cho quá trình xâm nhập và chiếm lấy quyền quản lý hệ thống các website
Sử dụng Webshell để làm gì?
- Thực hiện thu thập và chọn lọc dữ liệu nhạy cảm đồng thời tổng hợp các thông tin quan trọng.
- Mang theo những phần mềm độc hại khác tấc công máy của bạn, ví dụ như một lỗ hổng bị tấn công có thể lây lan ra các khu vực, nạn nhân khác.
- Webshell đóng vai trò như một điểm cho phép đưa ra các lệnh cho hệ thống máy chủ trong mạng mà không cần phải truy cập internet trực tiếp.
- Webshell có thể thực hiện chức năng như một cơ sở hạ tầng điều khiển, quản lý, kiểm soát, được so sánh giống như bot trong một mạng botnet.
- Với các cuộc tấn công DoS, mã độc Webshell thường được đưa ra sử dụng tuy nhiên nó hoàn toàn có khả năng hoạt động giống một nền tảng – platform giúp tải lên các công cụ gồm cả DoS.
Nhìn chung, webshell đóng vai trò như một điểm cho phép đưa ra các lệnh cho hệ thống máy chủ trong mạng mà không cần phải truy cập internet trực tiếp. Đồng thời thực hiện chức năng như một cơ sở hạ tầng điều khiển, quản lý, kiểm soát, giống như bot trong một mạng botnet nên mã độc Webshell hay được sử dụng với các cuộc tấn công DoS nhưng vẫn có khả năng hoạt động giống một nền tảng – platform giúp tải lên các công cụ gồm cả DoS.
Webshell cho phép đưa ra các lệnh cho hệ thống máy chủ trong mạng
Chức năng trong Webshell
Webshell sở hữu các chức năng cơ bản như tải tập tin lên máy chủ, tiến hành kết nối với cơ sở dữ liệu, sau đó vượt qua các lớp bảo mật, cấu hình, tấn công brute force, Get Root, Local Attack…
Lưu ý, một khi mà hacker có thể tải thành công các tập tin webshell này lên thì hệ thống quản lý của website coi như là đã bị mất và thuộc về hacker, nó sẽ chiếm lấy toàn quyền quản lý, không cần biết tài khoản hay mật khẩu của máy chủ là gì.
Cách hoạt động của Webshell
- Bằng cách sử dụng các công cụ thăm dò mạng, từ đó kẻ xấu hay hacker sẽ xác định được các lỗ hổng trong hệ thống mạng mà có thể tấn công vào, kể cả trường hợp website của bạn đã mua SSL và sau đó chúng tiến hành cài đặt các mã độc Webshell. Để dễ hiểu ta có ví dụ sau: Những lỗ hổng dễ xâm nhập, bảo mật lỏng lẻo tồn tại trong hệ thống quản lý nội dung CMS hay các ứng dụng phần mềm trong web server.
- Trường hợp được tải lên thành công, các mã độc này sử dụng các kỹ thuật như kỹ thuật khai thác, nâng cao cấp độ độc quyền và điều khiển từ xa. Hiển nhiên, những lệnh này liên quan trực tiếp đến cấp độ truy cập vào hệ thống website, chức năng có sẵn, và khi đó chúng có cả khả năng thực hiện các thao tác như: sửa, thêm, xóa, chạy các shell commands, các thực thi files, scripts,…
Cách thức tải và sử dụng Webshell
Những đối tượng hay hacker thực hiện tấn công sẽ tải lên mã độc phổ biến thông qua các lỗ hổng của website như:
- Lỗi Cross-site Scripting – XSS: về cơ bản, ở trường hợp này, các hacker sẽ chèn mã độc thông qua các đoạn script để thực thi chúng ở phía Client – khách hàng, chúng được sử dụng nhằm mục đích giúp vượt truy cập, giả danh người dùng (đây được xem là hình thức dễ bị tấn công và phổ biến nhất nhưng đồng thời cũng nguy hiểm nhất).
- Lỗi SQL injection: là loại lỗi chèn các mã độc như SQL query/command vào input trước khi tiến hành chuyển qua ứng dụng web xử lý, sau đó có thể login mà không cần đến user, password của người dùng.
- Lỗ hổng của các ứng dụng/dịch vụ điển hình như Wordpress, CMS,…
- Lỗ hổng xử lý tệp như quyền được chỉ định hay lọc trước khi tải lên,…
- Lỗ hổng Remote File Include (viết tắt là RFI) và Local File Include (viết tắt là LFI)
- Bị lộ thông tin admin (có thể kể đến các khu vực có thể tìm thấy các lỗ hổng được đề cập ở trên).
Trên đây là những thông tin về "Webshell là gì?" mà chúng tôi muốn gửi đến bạn. Hy vong chúng có thể giúp bạn có thêm những thông tin hữu ích nhất về webshell. Hãy theo dõi chúng tôi để cập nhật tin tức mới nhất mỗi ngày.
