Dalam 6 Bulan Terakhir, Microsoft Deteksi Serangan Web Shell Alami Lonjakan

Cyberthreat.id – Microsoft, perusahaan perangkat lunak, menemukan 140.000 serangan web shell selama periode Agustus 2020 hingga Januari 2021. Serangan ini meningkat dua kali lipat dibandingkan hitungan terakhir Microsoft sebanyak 77.000 serangan.

Serangan web shell merupakan penyerangan dengan skrip (kode) berbahaya untuk meningkatkan atau mempertahankan akses pada aplikasi web yang sudah diretas.

Dengan web shell, kata Microsoft, penyerang dapat menjalankan perintah pada server yang diserang “untuk mencuri data atau menggunakan server sebagai landasan peluncuran untuk aktivitas jahat lain”.

Serangan berbasis web shell sangat merusak karena bisa berimbas ke serangan berikutnya, seperti pencurian data-data kredensial, penyebaran muatan tambahan (malware lain), atau aktivitas keyboard langsung, sambil memungkinkan penyerang bertahan di sistem yang dibobol.

Untuk menginjeksi shell, awalnya penyerang memindai internet untuk mencari server  rentan untuk diserang. Pemindaian dilakukan dengan memanfaatkan alat pemindai seperti shodan.io.

Setelah mendapatkan kerentanan yang dapat dieksekusi, penyerang mengunggah web shell ke server yang rentan. Kemudian, server itu digunakan penyerang untuk menambang mata uang kripto (cryptocurrency) umum, dan beberapa hari setelah itu dimanfaatkan secara luas, tidak lagi sekadar menambang cryptocurrency, tulis Microsoft seperti dikutip dari ZDNet, diakses Minggu (14 Februari 2021).

Menurut Microsoft, jumlah serangan meningkat lantaran penyerang memandang taktik web shell dengan cara berbeda dari sebelumnya.

Dulu web shell dianggap sebagai alat untuk merusak situs web dan alat masuk bagi operator botnet untuk melakukan serangan membanjiri lalu lintas palsu ke situs web yagn ditargetkan atau disebut Distributed Denial of Services/DDoS. Kini, pandangan mereka berbeda, web shell menjadi bagian dari alat para peretas ransomware dan peretas yang disponsori negara (APT).

Mengapa begitu? Ada dua alasan yang menyebabkan web shell diminati peretas, menurut Microsoft. Yaitu, keserbagunaan dan akses yang web shell berikan ke server yang diretas.

Web shell tidak mudah dideteksi lantaran skripnya tidak tampak berbahaya atau sederhana sehingga dapat ditulis di hampir semua bahasa pemrograman yang berjalan di server web—dengan begitu mudah disembunyikan di dalam kode sumber situs web.

Selain itu, web shell memberi peretas cara sederhana menjalankan perintah pada server yang diretas melalui antarmuka grafis atau baris perintah—memberikan penyerang cara sederhana untuk meningkatkan serangan.

Pada April 2020, Badan Keamanan Nasional (NSA) Amerika Serikat menerbitkan daftar 25 kerentanan yang sering digunakan untuk memasang web shell, di antaranya aplikasi Microsoft SharePoint, Microsoft Exchange, Citrix, Atlassian Confluence, WordPress, Zoho ManageEngine, dan Adobe ColdFusion.

Berikut ini beberapa cara yang direkomendasikan Microsoft untuk memperkuat sistem terhadap serangan web shell:

• Terapkan pembaruan keamanan terbaru segera setelah tersedia. Tambal sistem yang dihadapi publik, karena sebagian besar web shell dipasang setelah penyerang mengeksploitasi kerentanan yang belum ditambal
• Perluas perlindungan antivirus ke server web, bukan hanya dilingkup kerja karyawan.
• Segmentasi jaringan untuk membatasi kerusakan server yang terinfeksi ke sejumlah kecil sistem dan bukan seluruh jaringan
• Sering-seringlah mengaudit dan meninjau log dari server web, terutama untuk sistem yang berhubungan dengan publik, yang lebih rentan terhadap pemindaian dan serangan.
• Praktikkan kebersihan kredensial yang baik. Batasi penggunaan akun dengan hak istimewa tingkat admin lokal atau domain.
• Periksa firewall perimeter dan proxy Anda untuk membatasi akses yang tidak perlu ke layanan, termasuk akses ke layanan melalui port non-standar.[]

Redaktur: Andi Nugroho