Het gebruik van webshells voor het uitvoeren van cyberaanvallen blijft maar toenemen. Dat constateren onderzoekers van het Microsoft Detection and Response Team (DART). Het gebruik van webshells is in een jaar tijd bijna verdubbeld.
Microsoft 365 Defender detecteerde elke maand van augustus 2020 tot januari 2021 gemiddeld 140.000 keer deze bedreigingen op servers. Dat is bijna het dubbele van het gemiddelde van 77.000 per maand van een jaar eerder.
Die toename is volgens Microsoft te verklaren omdat ze voor aanvallers eenvoudig en doeltreffend kunnen zijn. Een webshell is meestal een klein stukje kwaadaardige code, geschreven in typische programmeertalen voor webontwikkeling (bv. ASP, PHP, JSP), dat aanvallers op webservers zetten om op afstand toegang te krijgen tot serverfuncties en er code mee uit te voeren.
Als webshells onopgemerkt blijven, kunnen aanvallers gegevens blijven verzamelen van de netwerken waartoe ze toegang hebben, en er geld mee verdienen.
Met behulp van netwerk monitoring tools zoals Wireshark kan een aanvaller kwetsbaarheden vinden die worden uitgebuit met als resultaat een webshell installatie. Deze kwetsbaarheden kunnen aanwezig zijn in applicaties van het content management systeem of in de software van de webserver.
