Anvisningar för att hitta webshell-bakdörrar | Traficom
Hoppa till huvudinnehåll
Cybersäkerhetscentret
Anmäl kränkningar
Anmäl kränkningar
Anmäl kränkningar

Anvisningar för att hitta webshell-bakdörrar

Under de senaste dagarna har det avslöjats ett betydande antal dataintrång i Microsoft Exchange-e-postservrar där en så kallad webshell-bakdörr har installerats på servern. Installation av webshell-bakdörrar i offrets miljö har varit ett vanligt arbetssätt för angripare speciellt i samband med dataintrång på Exchange-servrar sedan förra året.

Cybersäkerhetscentret uppmanar alla organisationer som har en Exchange-e-postserver att vidta åtminstone de åtgärder som anges i denna anvisning för att hitta eventuella bakdörrar. Att bara åtgärda sårbarheterna genom att installera uppdateringar tar inte bort bakdörrar som en angripare installerat. Den senaste tidens dataintrång gäller inte e-postservrar som Microsoft tillhandahåller som molntjänster, som Exchange Online och Microsoft 365 Business.

I denna anvisning strävar man efter att ge några enkla råd för att söka efter webshell-bakdörrar på servrar. I angriparnas arsenal ingår dock även många andra verktyg som inte behandlas närmare i denna anvisning. Spår av försök att utnyttja sårbarheterna CVE-2021-26855, CVE-2021-26857, CVE-2021-27065 och CVE-2021-26858 som korrigerades i början av mars bör sökas i Exchange-e-postserverns logguppgifter enligt Microsofts anvisningar.

Det enklaste sättet att hitta webshell-filerna är att kontrollera kataloger på e-postservern som kan nås från offentliga nät för filer som inte ska finnas där.

  • \inetpub\wwwroot\aspnet_client\
  • \inetpub\wwwroot\aspnet_client\system_web\
  • \<exchange install path>\FrontEnd\HttpProxy\owa\auth\
  • \<exchange install path>\FrontEnd\HttpProxy\ecp\
  • \<exchange install path>\ClientAccess\Owa\auth\
  • \<exchange install path>\ClientAccess\ecp\

De flesta webshell-filer har någon av följande filändelser:

  • .aspx, .asmx, .asax, .ashx, .js, .php, .jsp, .cfm, .shtml

\inetpub\wwwroot\aspnet_client\

vilken som helst .aspx-fil i den här katalogen eller dess underkataloger

\<exchange install path>\FrontEnd\HttpProxy\owa\auth\

vilken som helst fil som inte ingår i grundinstallationen

 

\<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\

vilken som helst .aspx-fil i den här katalogen eller dess underkataloger

 

 \<exchange install path>\FrontEnd\HttpProxy\owa\auth\(versionumero)\

vilken som helst .aspx-fil i den här katalogen eller dess underkataloger

 

\<exchange install path>\FrontEnd\HttpProxy\ecp\auth\

vilken som helst fil annan än TimeoutLogout.aspx

Ett mer heltäckande sätt att hitta överflödiga skadliga filer är att jämföra innehållet i e-postserverns nuvarande katalogstruktur med grundinstallationen (s.k. Golden Image).

Nedan som ett exempel de filer som ingår i grundinstallationen av en Exchange 2013-e-postserver installerad på en Windows Server 2012 i de kataloger som anges ovan.

\<exchange install path>\FrontEnd\HttpProxy\owa\auth\

  • errorFE.aspx
  • ExpiredPassword.aspx
  • getidtoken.htm
  • logoff.aspx
  • logon.aspx
  • OutlookCN.aspx
  • RedirSuiteServiceProxy.aspx
  • signout.aspx
  • SvmFeedback.aspx

    <exchange install path>\ClientAccess\Owa\auth\

    • error.aspx
    • error2.aspx
    • expiredpassword.aspx
    • exppw.dll
    • logoff.aspx
    • owaauth.dll
    • signout.aspx

    \<exchange install path>\ClientAccess\ecp\

    (Flera underkataloger)

    • About.aspx
    • CloseWindow.aspx
    • CommonMaster.Master
    • CrossPremise.aspx
    • default.aspx
    • error.aspx
    • Global.asax
    • Hybrid.aspx
    • HybridLogoutHelper.aspx
    • Microsoft.Office.CsmSdk.Resources.xml
    • Resources.xml
    • SDKMaster.Master
    • web.config
    • web.config.bak
    • Web.sitemap

    I serverversionerna Exchange 2016 och Exchange 2019 ingår i katalogen

    \<exchange install path>\FrontEnd\HttpProxy\owa\auth\

    i grundinstallationen utöver ovan nämnda även filen

    • frowny.aspx

    Ett annat sätt att söka efter bakdörrar är att, åtminstone i filerna i ovannämnda kataloger, söka efter vissa teckensträngar som ofta används i webshell-filer. Misstänkta teckensträngar är till exempel:

    • %eval
    • eval(
    • {eval
    • Request.Item[
    • Request.Form[

    I vissa fall har en angripare gjort nya webshell-bakdörrar med ändelsen .ashx från sina .aspx-filer med användning av programmeringsspråket C#. I dessa fall är de misstänkta teckensträngarna ofta i formen:

    • StartInfo.FileName="cmd.exe";
    • StartInfo.FileName= "cmd" + "." + "exe";

    Teckensträngar kan sökas på e-postservern till exempel med PowerShell-kommandon av detta slag när de körs i den katalog där Exchange-servern är installerad:

    • Get-ChildItem -Path .\FrontEnd\HttpProxy\ -Recurse | Select-String -Pattern "%eval|eval\(|{eval|Request\.Item|Request\.Form" -CaseSensitive
    • Get-ChildItem -Path .\FrontEnd\HttpProxy\ -Recurse | Select-String -Pattern "StartInfo\.Filename" -CaseSensitive

    Om tecken på webshell-bakdörrar hittas bör händelsen behandlas som ett dataintrång. I det fallet är det mycket viktigt att klarlägga om angriparen har kunnat tränga in djupare i organisationens informationssystem. Tips för att kunna upptäcka dataintrång finns till exempel i den guide för att upptäcka dataintrång som Cybersäkerhetscentret publicerat (på finska). Utredning av dataintrång kräver hög teknisk kompetens och mycket resurser, så det är klokt att söka hjälp från till exempel företag som erbjuder datasäkerhetstjänster.

    Cybersäkerhetscentret är intresserat av alla observationer i anslutning till dataintrång och vägleder offren i utredningen av dataintrånget. Cybersäkerhetscentrets lägescentral kan kontaktas via e-post på cert@traficom.fi.

    Man bör också komma ihåg att polisanmäla upptäckta dataintrång och vid behov sköta om den lagstadgade anmälningsskyldigheten till tillsynsmyndigheter.

    Sidan är senast uppdaterad