Microsoft: Setiap Hari 77 Ribu Serangan Terhadap Web-Shell
Ilustrasi
Cyberthreat.id - Microsoft merilis laporan investigasi terbaru yang mengungkapkan fakta cukup mengejutkan yakni rata-rata 77 ribu serangan terhadap web shell aktif terjadi setiap hari.
Web-shell adalah penyerangan dengan skrip berbahaya untuk meningkatkan atau mempertahankan akses pada aplikasi web yang sudah dikompromikan.
Web Shell dikenal juga sebagai serangan injeksi shell di mana penyerang mengambil keuntungan dari kerentanan aplikasi web dan mengeksekusi perintah di server untuk aktivitas berbahaya.
Laporan Microsoft menyatakan para peneliti mendeteksi rata-rata 77 ribu web shell aktif di 46 ribu server yang terinfeksi setiap hari. Angka 77 ribu yang terdeteksi perhari adalah jumlah yang sangat mengkhawatirkan.
"Ini menyiratkan aktivitas intensif dari aktor ancaman atau penjahat di lansekap cyber," tulis laporan Microsoft dilansir Cyware Hacker News, Kamis (6 Februari 2020).
Temuan kunci:
1. Tim Microsoft menemukan beberapa kelompok ancaman, termasuk ZINC, KRYPTON, dan GALLIUM, yang menggunakan kode berbahaya ini dalam kampanye serangan mereka.
2. Mereka, para aktor ancaman, menggunakan cara ini untuk mengeksploitasi isu yang diketahui seputar aplikasi dan kompromi server untuk kemudian menginstal web shell.
3. China Chopper adalah salah satu web shell yang paling banyak diadopsi. Menurut laporan, web shell ini digunakan dalam banyak kampanye cyberespionage yang dilakukan oleh kelompok APT terkait China.
Oktober 2018, agen cybersecurity milik Five Eyes (Amerika Serikat, Inggris, Kanada, Australia, dan Selandia Baru) merilis laporan bersama yang merinci beberapa tools peretasan populer, termasuk China Chopper. Atas temuan ini, Microsoft memperingatkan administrator sistem untuk menanggapi temuan laporan dengan serius.
Dari pengalaman investigasi sebelumnya, Microsoft mengatakan peretas menggunakan web shell untuk mengunggah alat peretasan lainnya pada sistem korban, yang nantinya dapat digunakan untuk operasi pengintaian dan pergerakan lateral melintasi jaringan internal korban.
"Ini bisa saja mengubah peretasan server web yang sederhana menjadi sebuah insiden keamanan yang jauh lebih besar," demikian kutipan laporan.
