Serangan web shell merupakan ancaman signifikan bagi keamanan online, dengan penyerang menggunakan skrip berbahaya untuk mengambil alih kendali server dan memanipulasi situs web. Mendeteksi serangan terselubung ini bisa jadi sulit. Itulah mengapa sangat penting untuk memahami dan mempertahankan diri dari serangan-serangan ini secara efektif.
Dalam panduan komprehensif ini, kami akan membedah sifat serangan web shell, menjelajahi cara kerjanya, memeriksa berbagai jenisnya, memberikan contoh dunia nyata dan menunjukkan pada Anda cara mencegah serangan web shell.
Daftar Isi
- Apa yang dimaksud dengan Serangan Shell Web?
- Bagaimana Cara Kerja Serangan Web Shell?
- Jenis-jenis Kerang Web
- Contoh-contoh Serangan Cangkang Web
- Mengapa Serangan Web Shell Digunakan?
- Bagaimana Cara Mendeteksi Serangan Web Shell?
- Bagaimana Cara Memblokir Suntikan Web Shell?
Apa yang dimaksud dengan Serangan Shell Web?
Serangan web shell adalah serangan siber di mana penyerang mengeksploitasi kerentanan di situs web atau aplikasi web untuk mengunggah skrip berbahaya (dikenal sebagai “web shell”) ke server. Shell web ini memungkinkan penyerang untuk mengakses dan mengontrol situs web atau server yang terkena dampak.
Dalam keamanan siber, “shell” merujuk pada antarmuka baris perintah yang memungkinkan pengguna berinteraksi dengan komputer atau server dengan memasukkan perintah. Istilah “web shell” berasal dari kombinasi “web” (menunjukkan hubungannya dengan server web) dan “shell” (menunjukkan fungsionalitas antarmuka baris perintah).
Serangan ini beroperasi di bawah kedok skrip sisi server yang tampaknya sah. Anda mungkin masih berada dalam kegelapan karena skrip ini mengintai di dalam sistem Anda, memberikan peretas akses yang tidak terkendali. Serangan web shell memungkinkan penyerang untuk secara bebas menavigasi direktori yang dapat diakses melalui web, memanipulasi file, dan bahkan membuat pintu belakang untuk eksploitasi di masa depan.
Penjahat siber membuat serangan web shell dalam bahasa yang dapat ditafsirkan oleh server web yang menjadi target, seperti PHP, ASP, JSP, atau bahkan Perl. Mereka memastikan skrip-skrip ini sulit dideteksi dan dapat menghindari sistem keamanan. Web shell dapat menargetkan server lokal dan server yang terhubung ke internet.
Bagaimana Cara Kerja Serangan Web Shell?
Bayangkan Anda memiliki aplikasi web yang berjalan di server Anda. Seorang penyerang mengidentifikasi sebuah kerentanan, mungkin bidang input yang tidak dibersihkan atau perangkat lunak yang sudah ketinggalan zaman. Dengan memanfaatkan titik lemah ini, mereka mengunggah skrip berbahaya yang disamarkan sebagai berkas yang tidak berbahaya. Skrip ini berjalan di server Anda dan memberikan kemampuan eksekusi perintah jarak jauh kepada penyerang.
Setelah ditanam, web shell memungkinkan penyerang untuk memanipulasi server Anda. Mereka dapat menjalankan perintah, mencuri data sensitif, atau bahkan menggunakan server Anda sebagai landasan peluncuran untuk serangan lebih lanjut. Cakupan kerusakannya sangat luas – mulai dari pencurian data dan perusakan situs hingga pengambilalihan server secara menyeluruh.
Sifat tersembunyi dari kerang web membuatnya sangat berbahaya. Mereka dapat tertidur, membuat pendeteksiannya menjadi rumit. Penyerang juga bisa memodifikasi skrip web shell untuk menghindari langkah-langkah keamanan standar.
Mereka bertujuan untuk mempertahankan akses jangka panjang, memastikan shell web tetap tidak terdeteksi. Mereka dapat memperbarui skrip secara berkala atau mengubah lokasinya untuk menghindari pemantauan keamanan.
Jenis-jenis Kerang Web
Sekarang, mari kita telusuri berbagai jenis web shell. Pengetahuan ini akan membantu Anda mengantisipasi potensi kerentanan dan mengembangkan strategi pertahanan yang lebih kuat.
Cangkang Web PHP
Shell web PHP pada dasarnya adalah skrip berbahaya yang memungkinkan akses dan kontrol yang tidak sah atas server web. Para peretas banyak menggunakannya karena popularitas PHP dalam pengembangan web.
Mereka bisa sederhana, hanya beberapa baris kode, atau kompleks, tersembunyi di dalam berkas yang sah untuk menghindari deteksi.
WSO (Web Shell by Orb ) dan C99 adalah dua contoh yang lazim, yang menawarkan serangkaian fitur yang kaya untuk peretas, termasuk manajemen berkas, eksekusi perintah, dan interaksi basis data.
Cangkang Web ASP
Sebagian besar digunakan di Active Server Pages Microsoft, shell web ASP adalah skrip berbahaya yang disuntikkan penyerang ke server web target untuk mendapatkan akses jarak jauh.
Serangan web shell yang berhasil menggunakan web shell ASP dapat menyebabkan pencurian data, kerusakan server, atau pengambilalihan sistem secara keseluruhan. Server Anda menjadi boneka, dikendalikan oleh penyerang yang berada jauh di sana. Berikut adalah beberapa ASP populer yang kami gunakan:
- Helikopter China: Umumnya dikaitkan dengan pelaku ancaman dari Tiongkok, alat ini dikenal karena ukurannya yang kecil dan kemudahan penggunaannya. Terlepas dari kesederhanaannya, alat ini menyediakan fitur-fitur canggih untuk eksekusi perintah jarak jauh.
- ASPXSpy: Shell web yang memungkinkan penyerang untuk mengunggah, mengunduh, dan mengeksekusi file berbahaya pada server yang disusupi. Ini menyediakan antarmuka berbasis web untuk mengelola sistem yang terpengaruh.
- Pemindai IIS 6.0: Kode shell web ini secara khusus menargetkan server IIS 6.0, memberikan kemampuan kepada penyerang untuk mencacah file, menjalankan perintah, dan melakukan aktivitas pengintaian.
Cangkang Web JSP
Shell web JSP, kependekan dari Java Server Pages, beroperasi dengan memanipulasi bahasa pengkodean JSP untuk mendapatkan akses ke server. Penyerang yang terampil memasang shell web untuk memerintahkan dan mengendalikan proses server web.
Shell web JSP yang lebih canggih dapat menyertakan fitur-fitur seperti unggah file, unduh, dan bahkan antarmuka grafis untuk menyederhanakan interaksi dengan server yang disusupi. Penyerang dapat memanfaatkan kemampuan ini untuk menavigasi sistem file, mengunduh data sensitif, atau meningkatkan kontrol lebih lanjut.
Kerang Web Perl
Perl web shell adalah skrip berbahaya yang ditulis dalam bahasa pemrograman Perl, yang dirancang untuk membahayakan server web. Penyerang menyuntikkan skrip ini ke dalam server yang rentan untuk mendapatkan akses dan kontrol yang tidak sah. Setelah disematkan, Perl web shells memungkinkan penyerang untuk mengeksekusi perintah dari jarak jauh.
Sebagai contoh, sebuah shell web Perl dapat menyamar sebagai berkas yang tidak berbahaya, seperti gambar. Setelah diunggah ke server yang rentan, ia membuka pintu belakang, memungkinkan penyerang untuk berinteraksi dengan server dari kejauhan. Cangkang web ini sering kali menyertakan fungsi untuk menjalankan perintah, menavigasi sistem berkas, dan mentransfer berkas. Dengan memanfaatkan fleksibilitas Perl, penyerang dapat menyembunyikan perilaku jahat mereka.
Cangkang Web Python
Shell web Python sering kali menyamar dengan menggunakan nama file yang terdengar tidak berbahaya, seperti “image.jpg” atau “index.php”, untuk berbaur dengan file yang sah di server. Mereka dapat disuntikkan ke dalam aplikasi web yang rentan melalui berbagai cara, seperti mengeksploitasi bidang input yang tidak aman atau fungsi unggah file.
Penyerang dapat menggunakan kerangka kerja Python yang terkenal seperti Flask atau Django untuk membuat cangkang web yang terlihat seperti aplikasi web yang jinak, tetapi pada kenyataannya, memberikan akses masuk dan kontrol yang tidak sah. Skrip ini biasanya menyertakan fungsi-fungsi untuk menjalankan perintah sistem, menavigasi sistem berkas, dan berinteraksi dengan server dari jarak jauh.
Contoh-contoh Serangan Cangkang Web
Dua contoh serangan web shell ini akan memberi Anda wawasan tentang bagaimana penyerang mengeksploitasi kerentanan pada server web, dan konsekuensi bencana yang dapat terjadi.
Helikopter Cina
Dalam sebuah serangan cyber baru-baru ini, shell web China Chopper menargetkan delapan penyedia hosting web Australia. Penyedia layanan ini menjadi korban pelanggaran keamanan yang diakibatkan oleh sistem operasi yang sudah ketinggalan zaman, khususnya Windows Server 2008. Dengan memanfaatkan kerentanan ini, para penyerang menghubungkan server web yang disusupi ke kumpulan penambangan Monero, dan berhasil menambang koin Monero senilai 3868 AUD.
Selain itu, pada tahun 2021, versi shell web China Chopper, yang diprogram dalam JScript, memainkan peran penting dalam operasi kelompok Ancaman Persisten Lanjutan Hafnium. Kelompok ini mengeksploitasi empat kerentanan zero-day di Microsoft Exchange Server, yang berkontribusi pada pelanggaran data Microsoft Exchange Server tahun 2021 yang signifikan.
Cangkang Web WSO
Ini adalah contoh lain yang menonjol dari web shell berbasis PHP. Shell web Wso menawarkan antarmuka yang ramah pengguna dan berbagai fungsi, seperti manajemen file, eksekusi perintah, dan operasi basis data. Ini memanfaatkan banyak serangan, termasuk pelanggaran data besar-besaran di Equifax pada tahun 2017.
Equifax, salah satu agen pelaporan kredit utama di Amerika Serikat, mengalami pembobolan yang mengekspos data rahasia sekitar 147 juta orang Amerika.
Para penyerang mengeksploitasi kerentanan dalam kerangka kerja aplikasi web Apache Struts, yang mana patch-nya telah tersedia tetapi tidak diterapkan oleh Equifax. Perusahaan menyetujui penyelesaian hingga $700 juta untuk menyelesaikan penyelidikan dan tuntutan hukum federal dan negara bagian.
Mengapa Serangan Web Shell Digunakan?
Berikut adalah sepuluh alasan mengapa peretas menggunakan serangan web shell:
- Akses Tidak Sah: Kerang web memberikan penyerang sebuah pintu belakang ke dalam server web.
- Pencurian Data: Penyerang bisa menggunakan web shell untuk mencuri data sensitif yang tersimpan di sistem.
- Eksekusi Perintah: Shell web memungkinkan eksekusi perintah sewenang-wenang pada server yang terbuka, sehingga memungkinkan peretas memanipulasi file, memasang malware, atau melakukan tindakan jahat lainnya.
- Penolakan Layanan Terdistribusi (DDoS): Webshell membantu meluncurkan serangan DDoS dengan membanjiri situs web atau layanan yang ditargetkan dengan lalu lintas, sehingga menyebabkan situs web atau layanan tersebut tidak tersedia.
- Mempertahankan Kegigihan: Skrip shell web menyediakan titik akses yang tetap bagi para penyerang, yang memungkinkan mereka untuk mengendalikan server meskipun patch keamanan terbaru sudah tersedia.
- Pembajakan kripto: Penyerang dapat menggunakan web shell untuk menginstal perangkat lunak pihak ketiga pada server, memanfaatkan sumber daya server untuk menambang mata uang kripto tanpa sepengetahuan atau persetujuan dari pemiliknya.
- Perekrutan Botnet: Web shell dapat mengubah server yang diretas menjadi bagian dari botnet, yang dapat melakukan berbagai aktivitas berbahaya, termasuk serangan lebih lanjut dan distribusi spam
Bagaimana Cara Mendeteksi Serangan Web Shell?
Mendeteksi serangan web shell bergantung pada pengenalan perilaku server yang tidak biasa, seperti pola lalu lintas jaringan yang tidak terduga atau perubahan file sistem. Serangan web shell biasanya meninggalkan tanda-tanda tertentu. Menerapkan validasi input pengguna sangat penting untuk menangkal kerentanan penyertaan file lokal dan jarak jauh.
Indikator Cangkang Web Umum
Lonjakan data yang tiba-tiba dikirim dari server Anda bisa mengindikasikan serangan web shell. Shell web sering kali memodifikasi berkas sistem, jadi perubahan yang tidak diharapkan bisa menjadi peringatan. Jika server Anda lebih lambat atau tidak stabil, bisa jadi server Anda sedang diserang.
Pantau server Anda secara teratur untuk mengetahui perubahan yang tidak terduga. Skrip shell web sering kali meninggalkan jejak di log server. Pola aktivitas yang tidak biasa dapat mengindikasikan adanya injeksi web shell. Merantai web shell adalah taktik lain yang digunakan penyerang untuk mencegah deteksi web shell.
Untuk mencegah instalasi web shell, analisis log server dan gunakan alat khusus. Menganalisis file log server dapat memberikan wawasan dan solusi pasca-serangan yang tepat.
Mengapa Cangkang Web Sulit Dideteksi?
Tantangan utama dalam pendeteksian web shell adalah skrip web shell yang halus yang disematkan di dalam file yang sah. Ini seperti mencari jarum di tumpukan jerami digital.
Selain itu, malware web shell sering kali muncul sebagai proses normal pada perangkat lunak server web, yang menyatu dengan mulus dengan operasi reguler. Hal ini membuat web shell sulit dikenali tanpa solusi deteksi dan respons titik akhir (EDR) yang canggih.
Shells web menggunakan komunikasi terenkripsi, mengaburkan aktivitas mereka. Mereka memodifikasi dan menyamarkan diri mereka sendiri untuk menghindari deteksi. Banyak solusi yang tidak dapat mendeteksi teknik injeksi web shell yang canggih.
Selain itu, pengembang web shell sering kali menggunakan teknik polimorfik, yang secara dinamis mengubah struktur dan tampilan kode tanpa mengubah fungsionalitas intinya.
Kemampuan morphing ini menyulitkan metode pendeteksian berbasis tanda tangan tradisional untuk mengikutinya, karena web shell dapat menampilkan “wajah” yang berbeda setiap saat.
Alat untuk Mendeteksi Serangan Shell Web
Perangkat lunak antivirus modern dan alat-alat di bawah ini akan membantu Anda mendeteksi web shell. Gunakan keduanya secara bersamaan untuk diagnosis dan hasil terbaik.
- Firewall Aplikasi Web (WAF): Memantau dan memfilter lalu lintas HTTP untuk memblokir upaya jahat, termasuk injeksi shell web. Contoh: Open Appsec, Cloudflare.
- Alat Pemindaian dan Audit Keamanan: Mengidentifikasi dan menambal kerentanan shell web dengan alat seperti ZAP Attack Proxy dan Acunetix.
- Sistem Pemantauan Integritas File (FIM): Mendeteksi perubahan yang tidak sah pada file penting, yang menandakan potensi aktivitas web shell. Contoh: Tripwire dan OSSEC.
Selain alat bantu ini, ikuti praktik terbaik keamanan aplikasi web, seperti pembaruan rutin, kontrol akses, dan tinjauan keamanan.
Bagaimana Cara Memblokir Suntikan Web Shell?
Biasanya, serangan shell dimulai dengan penyerang mengeksploitasi kerentanan pada perangkat lunak server Anda, yang memungkinkan mereka menyuntikkan kode berbahaya. Mereka dapat melakukan ini melalui injeksi SQL, di mana mereka memanipulasi kueri basis data Anda, atau serangan Cross-Site Scripting (XSS), menyuntikkan skrip ke dalam situs web yang dapat dipercaya. Celah lainnya adalah antarmuka admin yang terbuka yang menyediakan akses ke fungsi-fungsi administratif tanpa mengharuskan seseorang untuk masuk.
Untuk memblokirnya, Anda harus secara teratur memperbarui dan menambal perangkat lunak Anda dan menggunakan firewall aplikasi web. Selain itu, pastikan Anda menggunakan praktik pengkodean yang aman untuk mencegah potensi titik lemah yang dapat dieksploitasi oleh penyerang. Sistem manajemen konten populer dan pengaya seperti plugin WordPress merupakan pintu masuk yang sering digunakan oleh para penyerang.
Sama pentingnya untuk menggunakan validasi sisi server untuk memblokir potensi penyusupan. Validasi sisi server memeriksa data yang dikirim ke server Anda dari peramban pengguna.
Pilih cara yang aman untuk berbicara dengan program komputer – pilih API (Application Program Interface) yang tidak menggunakan interpreter (program yang secara langsung mengeksekusi instruksi yang ditulis dalam bahasa pemrograman atau skrip) atau pilih program yang memiliki sistem seperti menu (antarmuka yang diparameterisasi).
Intinya
Dengan mempelajari serangan web shell, Anda telah memperluas kesadaran keamanan siber Anda dan sekarang lebih siap untuk menjaga sistem Anda tetap aman.
Bersikap proaktif dan tetap selangkah lebih maju adalah kunci untuk melawan ancaman dunia maya yang tiada henti. Untuk menghentikan serangan web shell, bangunlah mekanisme keamanan yang tangguh, gunakan alat pemindaian terbaru, dan prioritaskan pembaruan sistem secara teratur.
Setelah mengetahui cara mencegah serangan web shell, Anda bisa meningkatkan aplikasi web Anda secara signifikan dan melindungi pengguna dan data dari pelanggaran keamanan dan kerugian finansial.
Hemat 10% untuk Sertifikat SSL saat memesan hari ini!
Penerbitan cepat, enkripsi kuat, kepercayaan peramban 99,99%, dukungan khusus, dan jaminan uang kembali 25 hari. Kode kupon: SAVE10
