ช่วงหลัง ๆ เราจะได้ยินคำว่า Webshell กันค่อนข้างบ่อยครั้ง วันนี้ i-secure จะพาเพื่อนๆ มารู้จักว่า Webshell ซึ่งเป็นหนึ่งในเทคนิคการโจมตีที่พบได้บ่อยมากๆ ในปัจจุบัน

Webshell คืออะไร และทำไมมันจึงเป็นวิธีการที่เหล่า Hacker นิยมใช้ในการโจมตีเหยื่อกันบ่อยครั้ง

ก่อนอื่น ต้องทำความเข้าใจวิธีคิดที่ Hacker คิดก่อน จุดมุ่งหมายหลักของ Hacker คือต้องการเข้าถึงข้อมูลของเหยื่อ เช่น เข้าถึงข้อมูลความลับ (Confidentiality) หรือเข้าไปดัดแปลงแก้ไขข้อมูลให้เปลี่ยนแปลงไป (Integrity) หรือไม่ก็ทำการขัดขวางไม่ให้ใครๆเข้าถึงข้อมูลนั้นๆได้ (Availability)

ดังนั้นการที่จะบรรลุวัตถุประสงค์นั้นได้ ก็คือต้องควบคุมเหยื่อให้ได้ จึงเป็นที่มาของ Webshell ที่จะเข้าไปคอยควบคุมเครื่องคอมพิวเตอร์หรือเซิร์ฟเวอร์ของเป้าหมายนั่นเอง 

แล้ว Webshell คืออะไร?

Webshell คือไฟล์ที่ Hacker สร้างขึ้นมาเพื่อใช้สำหรับควมคุมเครื่อง Web Server ของเหยื่อหลังจาก Hacker พบช่องทางในการโจมตี โดย Webshell ถูกเขียนด้วยภาษาของ Web Application ยกตัวอย่างเช่นภาษา PHP เป็นต้น โดยใช้ประโยชน์จากคำสั่งหรือ Library ที่สามารถเรียกใช้งานของระบบ System Command หรือ OS Command คำสั่งเช่น “whoami” ,”ipconfig /all”, “mkdir” เป็นต้น 

แผนผังการทำงานของ Webshell ที่รอรับ input จาก Attacker
Ref: https://www.