NSA發布WebShell惡意軟件檢測與預防報告
責編:gltian |2020-04-26 14:50:33美國國家安全局(NSA)和澳大利亞信號局(ASD)本周發布了一份安全公告,警告企業盡快從Web服務器和內部服務器中檢測常見的WebShell惡意軟件。
兩家機構現已發布了一份長達17頁的聯合報告
[https://media.defense.gov/2020/Apr/22/2002285959/-1/-1/0/DETECT%20AN
D%20PREVENT%20WEB%20SHELL%20MALWARE.PDF ],其中包含一些工具,可幫助系統管理員檢測和處理這些WebShell威脅,包括:
- 用于將生產網站與知名圖片進行比較的腳本
- Splunk查詢,用于檢測Web流量中的異常URL
- 互聯網信息服務(IIS)日志分析工具
- 常見WebShell的網絡流量簽名
- 識別意外網絡流量的說明
- 識別Sysmon數據中異常流程調用的說明
- 使用Audited識別異常流程調用的說明
- 用于阻止對可通過Web訪問的目錄的更改的HIPS規則
- 常用的Web應用程序漏洞列表
最流行的惡意軟件之一
WebShell是當今最流行的惡意軟件形式之一。術語“ Web Shell”是指在被黑客入侵的服務器上安裝的惡意程序或腳本。
WebShell提供了一個可視界面,黑客可以使用該界面與被入侵的服務器及其文件系統進行交互。大多數WebShell都具有允許黑客重命名,復制,移動,編輯或上載服務器上新文件的功能。它們還可用于更改文件和目錄權限,或從服務器存檔和下載(竊取)數據。
黑客通過利用面向Internet的服務器或Web應用程序(例如CMS,CMS插件,CMS主題,CRM,Intranet或其他企業應用程序等)中的漏洞來安裝WebShell。
WebShell可以用從Go到PHP的任何編程語言編寫。這使黑客能夠以通用名稱(例如index.asp或uploader.php)將網絡外殼隱藏在任何網站的代碼中,這使得在沒有Web防火墻或Web惡意軟件掃描器的幫助下,幾乎不可能進行操作員的檢測。
微軟在今年2月發布的一份報告中表示,它每天檢測到大約77,000個活動的WebShell,意味著WebShell已經成為當今最流行的惡意軟件類型之一。
WEBSHELL可以充當內部網絡的后門
但是,許多公司對WebShell的危險性認識不足。
在本周發布的安全公告中,NSA和ASD兩家機構表示:
WebShell可以充當持久的后門或中繼節點,將攻擊者的命令路由到其他系統。攻擊者經常將多個受損系統上的WebShell鏈接在一起,以跨網絡路由流量,例如從面向Internet的系統到內部網絡。
該通報中提到的一些工具也可以在NSA的GitHub資料(https://github.com/nsacyber/Mitigating-Web-Shells)中找到。
盡管聯合公告中包含的所有建議和免費工具都很不錯,但還是建議系統管理員先對系統進行修補,然后再搜索已受損的主機。NSA和ASD給出的常用服務器軟件列表是開始打補丁優先對象,因為最近幾個月這些系統已成為攻擊目標。
該軟件列表包括Microsoft SharePoint,Microsoft Exchange,Citrix,Atlassian Confluence,WordPress,Zoho ManageEngine和Adobe ColdFusion等流行工具中的漏洞。