Schon einmal von Webshell gehört? Nein? Sollten Sie aber. Denn die Bedrohung, die von den massiven Angriffen ausgeht, ist mindestens genau so groß wie die durch Standard-Malware. Und besonders perfide sind die Attacken auch.
Was der Begriff Webshell bedeutet, wie entsprechende Attacken aussehen und Sie selbige erkennen beziehungsweise verhindern können, lesen Sie bei uns.
Die Identifikation von Webshells ist schwierig.
© Imonk72 / Pixabay
Webshell – Definition & Erklärung
Mittels Webshell werden gezielt ausgesuchte Server attackiert, die sowieso in vielen Unternehmen den wunden Punkt der gesamten Infrastruktur darstellen – besonders dann, wenn eine laufende Betreuung durch einen IT-Sicherheitsexperten fehlt. Um zu verstehen, wie Webshell funktioniert, hier zunächst ein wenig Basis-Wissen. Webanwendungen werden in sogenannten Skript-Sprachen wie Python oder PHP entwickelt. Sicherheitslücken innerhalb dieser Anwendungen ermöglichen es, beliebige Codes auszuführen.
Finden Cyberkriminelle eine entsprechende Lücke, können sie sie infizieren und so versuchen, den gesamten Server zu kapern. Das funktioniert, indem sie eine sogenannte Webshell auf dem Webserver installieren. Bei der Webshell handelt es sich um eine virtuelle Kommandozeile. Diese erlaubt es, auf Dateien innerhalb der Anwendung zuzugreifen und Systembefehle auszuführen. Kurz gesagt: alle Berechtigungen, die der Webserver hat, hat auch die Webshell. Und genau dieser Umstand macht die Attacken so brandgefährlich. Das zeigt sich beispielsweise im Fall einer als kritisch eingestuften Exchange-Sicherheitslücke.
Cybercrime: Tarnung ist alles.
© geralt / Pixabay
Schwer zu entdecken
Bis vor wenigen Jahren handelte es sich bei Webshells um simple HTML-Formulare. Sie übermittelten Befehle an den Webserver, der selbige ausführte. Heute sieht das anders aus. Aus Webshells sind modulare Kits geworden, die in der Regel aus zwei Komponenten bestehen: Der Steuereinheit auf dem Rechner des Hackers und einem encodierten Teil auf dem Server. Die Steuerbefehle sind komplex verschlüsselt, damit die Steuerung selbst verschleiert vonstatten geht.
Es gibt sogar Kits, bei denen nach jedem erfolgreich ausgeführten Befehl der gesamte Schadcode wieder neu encodiert und hochgeladen wird. Hier kommen dann auch IDS und WAFs (siehe unten) an ihre Grenzen. Andere Ausführungen lassen sich hingegen schnell erkennen, da sie „programmiersprachlich“ vom Rest des Codes abweichen. Wie immer handelt es sich aber auch bei dieser Angriffsform um ein Katz-und-Maus-Spiel. Je weiter sich die Methoden der Cyberkriminellen entwickeln, desto besser wird auch entsprechende Sicherheitssoftware.
Webshells: immer gut getarnt
Die Webshell als Meister der Tarnung. Wahlweise in einer bereits existierenden oder eigenen Code-Datei versteckt, wird die große Bedrohung häufig gar nicht erst entdeckt. Um die Gefahr dahinter zu minimieren, gibt es aber einige Maßnahmen, die Betreiber von Seiten und Diensten regelmäßig durchführen (lassen) sollten:
- Rechtevergabe. Für Webserver sollte das gelten, was auch für andere wichtige Anwendungen gilt. Durch eine detaillierte Rechteverteilung und die Trennung von Lese- und Schreibvergaben, kann das Angriffsrisiko minimiert werden.
- Web Applikation Firewalls (WAP): Sie analysieren den HTTP-Aufruf und lassen ihn nur zu, wenn er dem Protokoll-Standard entspricht. Ist das nicht der Fall, blockiert die Firewall den Zugriff und verhindert damit das unentdeckte Einschleusen von Schadcode. Auch hier ist ein entsprechendes Firewall-Management Basis für die langfristige Sicherheit.
- Installation einer Revisionssoftware. Sie ist in der Lage, Dateien zu identifizieren, die sich verändert haben.
- Regelmäßige Analyse des Nutzerverhaltens (UBA).
- Patch-Management: Alle Komponenten vom Server bis zur Skriptsprache sollten immer auf dem aktuellsten Stand sein. Denn sobald Sicherheitslücken bekannt werden, stellen die Entwickler schnellstmöglich entsprechende Updates zur Verfügung. Tipp: Geben Sie das Patch-Management in die erfahrenen Hände unserer Experten aus dem IT-SERVICE.NETWORK.
- Implementierung eines Intrusion Detection Systems. Die Detektion gründet auf einer Mustererkennung, kennt die entsprechenden Lücken und schlägt sofort Alarm, wenn diese für Attacken missbraucht werden.
Sie haben Fragen oder wünschen entsprechende Unterstützung? Nehmen Sie einfach Kontakt zu unseren Partnern aus dem IT-SERVICE.NETWORK auf. Wir kümmern uns darum, dass Ihr Unternehmen bestmöglich vor allen möglichen Angriffen geschützt ist.
Geschrieben von
Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung