Ohjeita webshell-takaporttien etsimiseen
Viime päivinä on paljastunut merkittävä määrä Microsoft Exchange -sähköpostipalvelimiin tehtyjä tietomurtoja, joiden yhteydessä palvelimelle on asennettu ns. webshell-takaportti. Webshell-takaporttien asentaminen uhrin ympäristöön on ollut yleinen hyökkääjän toimintamalli erityisesti Exchange-palvelimiin kohdistuneiden tietomurtojen yhteydessä jo viime vuodesta lähtien.
Kyberturvallisuuskeskus kehottaa kaikkia organisaatioita, joilla on Exchange-sähköpostipalvelin, tekemään vähintään tässä ohjeessa mainitut toimenpiteet mahdollisten takaporttien löytämiseksi. Pelkkä haavoittuvuuksien korjaaminen asentamalla päivitykset ei poista hyökkääjän asentamia takaportteja. Viime aikaiset tietomurrot eivät koske Microsoftin pilvipalveluina tarjoamia sähköpostipalvelimia, kuten Exchange Online ja Microsoft 365 Business.
Tässä ohjeessa pyritään antamaan joitain yksinkertaisia neuvoja, joilla webshelli-takaportteja voi etsiä palvelimilta. Hyökkääjien arsenaaliin kuuluu kuitenkin myös lukuisia muita työkaluja, joihin ei tässä ohjeessa tarkemmin paneuduta. Jälkiä maaliskuun alussa korjattujen haavoittuvuuksien CVE-2021-26855, CVE-2021-26857, CVE-2021-27065 ja CVE-2021-26858 hyväksikäyttöyrityksistä kannatta etsiä Exchange-sähköpostipalvelimen lokitiedoista Microsoftin ohjeiden mukaisesti (Ulkoinen linkki).
Yksinkertaisin tapa löytää webshell-tiedostot on tarkistaa sähköpostipalvelimen julkisesta verkosta saavutettavat hakemistot sinne kuulumattomien tiedostojen varalta.
Kattavampi tapa löytää ylimääräisiä haitallisia tiedostoja olisi verrata sähköpostipalvelimen nykyistä hakemistorakenteen sisältöä perusasennuksen (ns. Golden Image) hakemistorakenteeseen.
Mikäli viitteitä webshell-takaporteista löytyy, tapausta tulee käsitellä tietomurtona. Tällöin on ensiarvoisen tärkeää selvittää, onko hyökkääjä päässyt murtautumaan laajemmalle organisaation tietojärjestelmiin. Vinkkejä tietomurron havaitsemiseen saa esimerkiksi Kyberturvallisuuskeskuksen julkaisemasta oppaasta tietomurtojen havaitsemiseen . Tietomurron tutkinta vaatii paljon teknistä osaamista ja resursseja, joten siihen on viisasta hankkia apua esimerkiksi tietoturvapalveluja tarjoavilta yrityksiltä.
Kyberturvallisuuskeskus on kiinnostunut kaikista tietomurtoihin liittyvistä havainnoista ja opastaa uhreja tietomurron selvittelyssä. Yhteydenotot voi tehdä sähköpostitse Kyberturvallisuuskeskuksen tilannekeskukselle sähköpostiosoitteeseen cert@traficom.fi .
On myös syytä muistaa tehdä havaitusta tietomurrosta rikosilmoitus poliisille ja
hoitaa tarvittaessa lakisääteinen ilmoitusvelvollisuus valvoville viranomaisille.