Rubrik Zero Labsは、毎日スキャンされる210万以上のスナップショットから得られた検出テレメトリーという、膨大で独特のデータセットを分析しています。我々の分析の過程で、我々は重大かつ懸念すべきトレンドを発見しました:Webシェルの継続的な存在です。これらの悪意あるスクリプトは、リモートアクセスと制御のために設計されることが多く、バックアップアーカイブの一見無害に見える範囲内で気付かれない可能性のある重大な脆弱性を表します。このブログ投稿では、我々の発見を詳しく掘り下げ、発見した最も一般的なWebシェルを強調し、それらの潜在的な影響についての洞察を提供します。
沈黙の侵入者:Webシェルとは何か?
本質的には、Webシェルは悪意あるスクリプトまたはプログラムで、Webサーバーにアップロードされ、正当なファイルに偽装されることが多いです。一度実行されると、攻撃者にサーバーの遠隔制御を与え、任意のコマンド実行、ファイルのアップロード/ダウンロード、データの変更、さらにはネットワーク内の他のシステムへのピボットを可能にします。Webシェルの危険性は、その多機能性と、特にバックアップファイル内にネストされている場合に従来のセキュリティ対策を回避できるという能力にあります。バックアップはしばしば「安全な」リポジトリと見なされています。
バックアップ内でWebシェルを発見することは特に懸念事項です。それらがある時点でライブシステム上に存在していたこと、そして修復された場合でも、それらの痕跡が残存し、バックアップが十分なサニタイズなしに復元された場合の再感染リスクを構成していることを示しています。
トップの犯人を見る:発見されたWebシェル
数千のバックアップスキャンからのテレメトリー分析は、頻繁に出現するWebシェルの種類に一貫したパターンを明らかにしました。有病率による上位候補の内訳は以下の通りです:
1. P0WNYSHELL:このPHPベースのWebシェルは、ユーザーフレンドリーなインターフェースと包括的な機能により、攻撃者のツール箱で有名なツールです。P0WNYSHELLは、ファイル管理、コマンド実行、データベース操作、さらにはネットワークスキャンを含む幅広い機能を提供します。バックアップでの有病率は、堅牢で多機能なバックドアを探す攻撃者にとって、これが最初の選択肢であることを示唆しています。
2. CHINACHOP:ステルス性とシンプルさで知られるCHINACHOPは、標的を絞った攻撃でよく使用されるコンパクトで効率的なWebシェルです。より機能豊富なシェルとは異なり、CHINACHOPはコア命令実行機能の提供に焦点を当てており、ファイルサイズや複雑さに基づいて検出されにくくなっています。そのコンパクトなフットプリントにより、正当なファイルに溶け込むことができます。
3. PHPSPY:その名前が示すように、PHPSPYは情報収集と偵察のために設計されたPHPベースのWebシェルです。システム情報の取得、プロセスのリスト、データベース認証情報へのアクセスなどの機能が含まれることが多いです。バックアップでPHPSPYが見つかることは、攻撃者が侵害されたシステムから機密情報を正常に抽出した可能性を浮き彫りにしています。
4. ASPXSPY:ASP.NET環境を標的とした強力で完全な機能を持つWebシェルであるASPXSPYは、Windowsベースのサーバが侵害された攻撃者にとって一般的な選択肢です。ファイル管理、アップロード、コマンド実行、データベース列挙のための包括的なグラフィカルインターフェースを提供します。我々のテレメトリーでの発見は、攻撃者がPHPだけでなく、Webアプリケーションスタック全体を積極的に標的にしていることを強調する重大な発見です。
5. 404SHELL:この特定のWebシェルはその欺瞞的な性質で注目に値します。多くの場合、正当な「404 Not Found」エラーページに化けており、404SHELLはサーバーインフラストラクチャに溶け込もうとしており、管理者がそれを発見しにくくなっています。バックアップでの存在は、攻撃者が違法な活動を隠蔽する工夫を示唆しています。
バックアップでの配布と流行
風景の明確な画像を提供するために、スキャンされたバックアップ全体で検出されたこれらのWebシェルの配布と流行を示すグラフを以下に示します。
データが明確に示すように、我々のバックアップテレメトリーはP0WNYSHELLに圧倒的に支配されており、これはすべての検出の3分の2以上を占めています。CHINACHOPは遠く離れた第2位に続き、発見の20%をわずかに超えています。これら2つの「古典的な」Webシェルを合わせると、バックアップスナップショットに潜んでいる脅威の90%を表しています。これは、これらのツールが歴史的な侵害で非常に成功したか、特に永続的であることを示唆しています。
バックアップ対ワイルド:比較分析
バックアップ内のWebシェルを見つけることは、過去の侵害の静的なスナップショットを提供します。しかし、これはセキュリティ研究者が今日「ワイルド」で積極的に悪用されているのを見ている脅威と比較してどのようになりますか?我々はバックアップの発見を現在の脅威インテリジェンスデータと比較しました。その結果は驚くべきものです。
このデータは完全に異なる状況を描いています。アクティブな脅威ランドスケープはb374k(47.5%)やc99のバリアント(42.8%)などの新しく、より洗練されたシェルに支配されています。
明らかに、ライブシステムを支配している脅威はバックアップアーカイブを支配しているものと同じではありません。
この矛盾は2つの強力な結論を示唆しています。
第一に、我々が述べたように、バックアップは侵害の歴史的記録です。それらは攻撃者が過去に正常に使用した「古典的な」マルウェアを含んでおり、ライブシステムの監視が「最新の」または最も一般的な脅威のみを探している場合は見逃す可能性があります。
第二に、より重要なことに、我々のデータはライブセキュリティソリューションの潜在的なブラインドスポットを示唆しています。バックアップで非常に一般的に見つけたWebシェル(P0WNYSHELLなど)は、正確には実時間EDR、WAF、AVスイートが見落とした可能性があるものです。ライブスキャナーが脅威を検出できない場合、その脅威はシステム上に残存し、バックアップに忠実に記録されます。その後、Rubrikの包括的なオフラインスキャンによって検出されます。
これはバックアップテレメトリーが単なる歴史的記録ではないことを意味します。これはライブセキュリティが見逃したものの記録です。
これらの脅威は一度見逃してしまったため、組織がこれらの侵害されたスナップショットのいずれかから復元する場合の再感染の明確な危険性を構成しています。これはバックアップのスキャンの独特で重大な価値を強調しています。それはライブシステム監視単独では提供できない脅威インテリジェンスの側面を提供します。
バックアップスキャンは重要なセキュリティレイヤーです
脅威テレメトリーの我々の分析は、バックアップのスキャンが単なる「あったらいいな」またはリカバリーチェックではないという避けられない結論に至ります。これは組織のセキュリティ態勢の重要かつ必要なレイヤーです。
テレメトリーは、P0WNYSHELLやCHINACHOPなどのWebシェルがリアルタイムセキュリティツールから正常に回避したことを明確に示しています(それは正確には彼らがバックアップに終わった方法です)。ビジネス継続性を目的とするこれらのスナップショットは、休止中のセキュリティ時限爆弾になり、ライブセキュリティ製品のブラインドスポットになります。侵害されたバックアップから復元すると、データを復元するだけでなく、既に防御をバイパスできることを証明している脅威で環境に積極的に再感染させます。
主要な内容:
1. ソースで再感染を停止します:リカバリーシナリオの最大のリスクは再感染です。バックアップをスキャンすることは、リカバリーポイントをサニタイズし、ライブシステムが既に見逃した可能性のあるマルウェアを再配備していないことを確認する唯一の方法です。
2. バックアップは回避の記録です:我々のデータはバックアップテレメトリーが独特のインテリジェンスを提供することを示しています。これは攻撃者が何をしようとしているかだけではなく、リアルタイム防御をバイパスしたものの決定的な記録です。これはバックアップスキャンを機密保護ギャップの独特な真実の源にします。
3. 非明白で重大な防御:最も危険な脅威はあなたが見ないものです。ライブ監視ツールは「正面玄関」に焦点を当てていますが、攻撃者はすでに城の中にいて、アーカイブに隠れています。バックアップスキャンは、このブラインドスポットを保護し、最後の防衛線であるバックアップが最大の脆弱性ではないことを確認する本質的な制御です。
セキュリティの専門家として、我々は私たちの考え方を進化させなければなりません:バックアップはもはや単なるリカバリーツールではありません。これはライブ本番システムと同じ精査のレベルを要求する重大なセキュリティドメインです。
翻訳元: https://zerolabs.rubrik.com/blog/whats-hiding-your-backups
