Fasilitas pembayaran global VISA memperingatkan bahwa saat ini penjahat semakin banyak menggunakan web shell pada server yang disusupi, untuk mengekstrak informasi kartu kredit yang dicuri dari toko online.
Web shell adalah alat (skrip atau program) yang digunakan oleh penjahat untuk mendapatkan atau mempertahankan akses ke server yang diretas, lalu menjalankan kode atau perintah dari jarak jauh yang bergerak secara lateral dalam jaringan target; atau mengirimkan muatan berbahaya tambahan.
Web shells Digunakan untuk Mengekstrak Info
Tahun lalu, VISA telah melihat tren yang berkembang dari web shell sebagai alat penyuntik skrip yang berbasis JavaScript yang dikenal sebagai skimmer kartu kredit, ke toko online yang diretas dengan serangan web skimming (digital skimming, e-Skimming atau Magecart).
Skimmer bisa disalahgunakan sebagai mencuri pembayaran serta informasi pribadi yang dikirimkan oleh pelanggan toko online dan dikompromikan setelah mengirimkannya ke server yang mereka kendalikan.
“Sepanjang tahun 2020, Payment Fraud Disruption (PFD) telah mengidentifikasi tren di mana banyak serangan eSkimming sebagai web shell untuk mendirikan command and control (C2) selama serangan,” kata VISA.
“PFD mengkonfirmasi jika pada tahun 2021 ada sekitar 45 serangan eSkimming menggunakan tool tersebut dan peneliti keamanan juga mencatat peningkatannya pada ancaman keamanan informasi yang lebih luas.”
Para penyerang menggunakan berbagai metode untuk menerobos ke server toko online, termasuk kerentanan dalam infrastruktur administratif yang tidak aman, aplikasi/plugin situs web terkait eCommerce, dan platform eCommerce yang kadaluarsa/unpatched.
Web Shell Makin Banyak Digunakan untuk Backdoor
Pada Februari lalu, temuan VISA dikonfirmasi oleh tim Microsoft Defender Advanced Threat Protection (ATP) yang mengatakan bahwa, jumlah tool tersebut yang digunakan pada server telah disusupi, hampir dua kali lipat sejak tahun lalu.
Peneliti keamanan perusahaan menemukan sekitar 140.000 alat berbahaya pada server yang diretas di tiap bulannya, antara Agustus 2020 sampai Januari 2021.
Sebagai perbandingan, Microsoft mengatakan dalam laporan tahun 2020 bahwa mereka telah mendeteksi sekitar 77.000 setiap bulannya dengan berdasarkan data yang dikumpulkan dari 46.000 perangkat berbeda pada Juli dan Desember 2019.
Badan Keamanan Nasional AS (NSA) juga memperingatkan dalam laporan bersama yang dikeluarkan dengan Australian Signals Directorate (ASD) pada April 2020 tentang pelaku ancaman yang meningkatkan serangan mereka ke server rentan backdoor dengan menyebarkan web shell.
“Taktik, teknik dan prosedur tersebut bukanlah daftar lengkap dari berbagai metode eksploitasi yang digunakan penyerang dalam serangan menggunakan tool ini, hal itu adalah beberapa metodologi terkemuka yang diidentifikasi,” tambah VISA.
“Penggunaan tool itu untuk memfasilitasi serangan eSkimming akan tetap ada, terutama karena pembatasan seputar perdagangan secara langsung tetap berlaku saat pandemi berlanjut.”
Pembatasan Web Shell Melakukan Backdoor pada Endpoint
Sebelum April tahun ini, fitur Network Attack Defense pada Bitdefender Gravityzone tidak ada untuk Windows Servers.
Sekarang fitur penting ini sudah terintegrasi juga, selain di Windows desktop, terutama untuk mengatasi serangan brute force yang biasa masuk dari RDP dan protokol SSH.
Selain brute force, pergerakan lateral, initial dan credential access, pencuri password, bisa dideteksi oleh fitur ini.
Sangat membatu dari penjelasan dan arahan yang di berikan, dan untuk web ini semoga berjalan dengan baik 🙂
Terima kasih, pak.