美國國家安全局(NSA)和澳大利亞信號局(ASD)本周發(fā)布了一份安全公告���,警告企業(yè)盡快從Web服務(wù)器和內部服務(wù)器中檢測常見(jiàn)的WebShell惡意軟件�。
兩家機構現已發(fā)布了一份長(cháng)達17頁(yè)的聯(lián)合報告(https://media.defense.gov/2020/Apr/22/2002285959/-1/-1/0/DETECT%20AND%20PREVENT%20WEB%20SHELL%20MALWARE.PDF?)��,其中包含一些工具����,可幫助系統管理員檢測和處理這些WebShell威脅�����,包括:
·用于將生產(chǎn)網(wǎng)站與知名圖片進(jìn)行比較的腳本
·Splunk查詢(xún)����,用于檢測Web流量中的異常URL
·互聯(lián)網(wǎng)信息服務(wù)(IIS)日志分析工具
·常見(jiàn)WebShell的網(wǎng)絡(luò )流量簽名
·識別意外網(wǎng)絡(luò )流量的說(shuō)明
·識別Sysmon數據中異常流程調用的說(shuō)明
·使用Audited識別異常流程調用的說(shuō)明
·用于阻止對可通過(guò)Web訪(fǎng)問(wèn)的目錄的更改的HIPS規則
·常用的Web應用程序漏洞列表
WebShell是當今最流行的惡意軟件形式之一��。術(shù)語(yǔ)“WebShell”是指在被黑客入侵的服務(wù)器上安裝的惡意程序或腳本�����。
WebShell提供了一個(gè)可視界面�,黑客可以使用該界面與被入侵的服務(wù)器及其文件系統進(jìn)行交互�����。大多數WebShell都具有允許黑客重命名���、復制�、移動(dòng)����、編輯或上載服務(wù)器上新文件的功能���。它們還可用于更改文件和目錄權限�����,或從服務(wù)器存檔和下載(竊?��。祿?。
黑客通過(guò)利用面向Internet的服務(wù)器或Web應用程序(例如CMS���、CMS插件��、CMS主題���、CRM��、Intranet或其他企業(yè)應用程序等)中的漏洞來(lái)安裝WebShell���。
WebShell可以用從Go到PHP的任何編程語(yǔ)言編寫(xiě)����。這使黑客能夠以通用名稱(chēng)(例如index.asp或uploader.php)將網(wǎng)絡(luò )外殼隱藏在任何網(wǎng)站的代碼中����,這使得在沒(méi)有Web防火墻或Web惡意軟件掃描器的幫助下�����,幾乎不可能進(jìn)行操作員的檢測�。
微軟在今年2月發(fā)布的一份報告中表示�����,它每天檢測到大約77,000個(gè)活動(dòng)的WebShell�,意味著(zhù)WebShell已經(jīng)成為當今最流行的惡意軟件類(lèi)型之一�����。
WEBSHELL可以充當內部網(wǎng)絡(luò )的后門(mén)
但是����,許多公司對WebShell的危險性認識不足�����。
在本周發(fā)布的安全公告中����,NSA和ASD兩家機構表示:
WebShell可以充當持久的后門(mén)或中繼節點(diǎn)�,將攻擊者的命令路由到其他系統�����。攻擊者經(jīng)常將多個(gè)受損系統上的WebShell鏈接在一起���,以跨網(wǎng)絡(luò )路由流量�,例如從面向Internet的系統到內部網(wǎng)絡(luò )���。
該通報中提到的一些工具也可以在NSA的GitHub資料中找到(https://github.com/nsacyber/Mitigating-Web-Shells)���。
盡管聯(lián)合公告中包含的所有建議和免費工具都很不錯��,但還是建議系統管理員先對系統進(jìn)行修補���,然后再搜索已受損的主機�。NSA和ASD給出的常用服務(wù)器軟件列表是開(kāi)始打補丁優(yōu)先對象�,因為最近幾個(gè)月這些系統已成為攻擊目標��。
該軟件列表包括Microsoft SharePoint����、Microsoft Exchange���、Citrix�����、Atlassian Confluence�、WordPress����、Zoho ManageEngine和Adobe ColdFusion等流行工具中的漏洞���。