信息來源:安全牛
美國國家安全局(NSA)和澳大利亞信號局(ASD)本周發(fā)布了一份安全公告,警告企業(yè)盡快從Web服務(wù)器和內(nèi)部服務(wù)器中檢測常見的WebShell惡意軟件���。
兩家機構(gòu)現(xiàn)已發(fā)布了一份長達17頁的聯(lián)合報告
[https://media.defense.gov/2020/Apr/22/2002285959/-1/-1/0/DETECT%20AND%20PREVENT%20WEB%20SHELL%20MALWARE.PDF ]�����,其中包含一些工具���,可幫助系統(tǒng)管理員檢測和處理這些WebShell威脅,包括:
-
用于將生產(chǎn)網(wǎng)站與知名圖片進行比較的腳本
-
Splunk查詢���,用于檢測Web流量中的異常URL
-
互聯(lián)網(wǎng)信息服務(wù)(IIS)日志分析工具
-
常見WebShell的網(wǎng)絡(luò)流量簽名
-
識別意外網(wǎng)絡(luò)流量的說明
-
識別Sysmon數(shù)據(jù)中異常流程調(diào)用的說明
-
使用Audited識別異常流程調(diào)用的說明
-
用于阻止對可通過Web訪問的目錄的更改的HIPS規(guī)則
-
常用的Web應(yīng)用程序漏洞列表
最流行的惡意軟件之一
WebShell是當(dāng)今最流行的惡意軟件形式之一��。術(shù)語“ Web Shell”是指在被黑客入侵的服務(wù)器上安裝的惡意程序或腳本�。
WebShell提供了一個可視界面�,黑客可以使用該界面與被入侵的服務(wù)器及其文件系統(tǒng)進行交互。大多數(shù)WebShell都具有允許黑客重命名�,復(fù)制,移動�����,編輯或上載服務(wù)器上新文件的功能。它們還可用于更改文件和目錄權(quán)限��,或從服務(wù)器存檔和下載(竊?���。?shù)據(jù)�����。
黑客通過利用面向Internet的服務(wù)器或Web應(yīng)用程序(例如CMS��,CMS插件���,CMS主題�����,CRM����,Intranet或其他企業(yè)應(yīng)用程序等)中的漏洞來安裝WebShell��。
WebShell可以用從Go到PHP的任何編程語言編寫�。這使黑客能夠以通用名稱(例如index.asp或uploader.php)將網(wǎng)絡(luò)外殼隱藏在任何網(wǎng)站的代碼中�����,這使得在沒有Web防火墻或Web惡意軟件掃描器的幫助下���,幾乎不可能進行操作員的檢測。
微軟在今年2月發(fā)布的一份報告中表示�,它每天檢測到大約77,000個活動的WebShell,意味著WebShell已經(jīng)成為當(dāng)今最流行的惡意軟件類型之一�。
WEBSHELL可以充當(dāng)內(nèi)部網(wǎng)絡(luò)的后門
但是,許多公司對WebShell的危險性認(rèn)識不足�����。
在本周發(fā)布的安全公告中����,NSA和ASD兩家機構(gòu)表示:
WebShell可以充當(dāng)持久的后門或中繼節(jié)點,將攻擊者的命令路由到其他系統(tǒng)�。攻擊者經(jīng)常將多個受損系統(tǒng)上的WebShell鏈接在一起,以跨網(wǎng)絡(luò)路由流量����,例如從面向Internet的系統(tǒng)到內(nèi)部網(wǎng)絡(luò)。
該通報中提到的一些工具也可以在NSA的GitHub資料(https://github.com/nsacyber/Mitigating-Web-Shells)中找到。
盡管聯(lián)合公告中包含的所有建議和免費工具都很不錯���,但還是建議系統(tǒng)管理員先對系統(tǒng)進行修補����,然后再搜索已受損的主機����。NSA和ASD給出的常用服務(wù)器軟件列表是開始打補丁優(yōu)先對象�����,因為最近幾個月這些系統(tǒng)已成為攻擊目標(biāo)����。
該軟件列表包括Microsoft SharePoint,Microsoft Exchange�,Citrix,Atlassian Confluence�����,WordPress�����,Zoho ManageEngine和Adobe ColdFusion等流行工具中的漏洞。
