Anvisningar för att hitta webshell-bakdörrar
Under de senaste dagarna har det avslöjats ett betydande antal dataintrång i Microsoft Exchange-e-postservrar där en så kallad webshell-bakdörr har installerats på servern. Installation av webshell-bakdörrar i offrets miljö har varit ett vanligt arbetssätt för angripare speciellt i samband med dataintrång på Exchange-servrar sedan förra året.
Cybersäkerhetscentret uppmanar alla organisationer som har en Exchange-e-postserver att vidta åtminstone de åtgärder som anges i denna anvisning för att hitta eventuella bakdörrar. Att bara åtgärda sårbarheterna genom att installera uppdateringar tar inte bort bakdörrar som en angripare installerat. Den senaste tidens dataintrång gäller inte e-postservrar som Microsoft tillhandahåller som molntjänster, som Exchange Online och Microsoft 365 Business.
I denna anvisning strävar man efter att ge några enkla råd för att söka efter webshell-bakdörrar på servrar. I angriparnas arsenal ingår dock även många andra verktyg som inte behandlas närmare i denna anvisning. Spår av försök att utnyttja sårbarheterna CVE-2021-26855, CVE-2021-26857, CVE-2021-27065 och CVE-2021-26858 som korrigerades i början av mars bör sökas i Exchange-e-postserverns logguppgifter enligt Microsofts anvisningar (Extern länk).
Det enklaste sättet att hitta webshell-filerna är att kontrollera kataloger på e-postservern som kan nås från offentliga nät för filer som inte ska finnas där.
Ett mer heltäckande sätt att hitta överflödiga skadliga filer är att jämföra innehållet i e-postserverns nuvarande katalogstruktur med grundinstallationen (s.k. Golden Image).
Om tecken på webshell-bakdörrar hittas bör händelsen behandlas som ett dataintrång. I det fallet är det mycket viktigt att klarlägga om angriparen har kunnat tränga in djupare i organisationens informationssystem. Tips för att kunna upptäcka dataintrång finns till exempel i den guide för att upptäcka dataintrång som Cybersäkerhetscentret publicerat (på finska). Utredning av dataintrång kräver hög teknisk kompetens och mycket resurser, så det är klokt att söka hjälp från till exempel företag som erbjuder datasäkerhetstjänster.
Cybersäkerhetscentret är intresserat av alla observationer i anslutning till dataintrång och vägleder offren i utredningen av dataintrånget. Cybersäkerhetscentrets lägescentral kan kontaktas via e-post på cert@traficom.fi.
Man bör också komma ihåg att polisanmäla upptäckta dataintrång och vid behov sköta om den lagstadgade anmälningsskyldigheten till tillsynsmyndigheter.