美国国家安全局 (NSA) 和澳大利亚信号局 (ASD) 本周发布一份安全公告,警告企业警惕从面向 web 和内部服务器搜索常见 web shell 的恶意行为。
Web shell 是当前最流行的一种恶意软件形式。”web shell” 一词指的是安装在黑客服务器上的恶意程序或脚本。Web shell 提供了可视化接口,可被黑客用于和被黑服务器及其文件系统进行交互,同时可被用于更改文件和目录权限或者从服务器实现并下载(窃取)数据。黑客通过利用面向互联网的服务器或 web 应用程序(如 CMS、CMS 插件、CMS 主题、CRM、内联网或其它企业应用等)中的漏洞安装 web shell。Web shell 可由任何编程语言编写,如 Go 和 PHP,这就导致黑客能够以任何常用名称(如 index.asp 或 uploader.php)在任意网站代码内部隐藏 web shell,从而导致在没有 web 防火墙或 web 恶意软件扫描器的辅助下,人类操作员几乎无法检测到。今年2月份,微软发布报告指出它每天检测到大约7.7万个活跃的 web shell,导致 web shell 成为当前最普遍的恶意软件类型。
然而,很多企业并不理解 web shell 安装在系统上的危险性。web shell 基本被作为后门使用,它的重要性和紧急性亟需人们重视。NSA 和 ASD 在本周发布的安全公告中提醒企业注意这种常被忽略的攻击向量。公告指出,“web shell 可被用作持久的后门或作为将攻击者命令路由到其它系统的依赖节点。攻击者常常在多个受陷系统上链接使用 web shell,在整个网络路由流量如将流量从面向互联网的系统路由到内部网络。”这两家机构已发布一份长达17页的 PDF 文件,其中包含了帮助系统管理员检测并处理这类威胁的工具。该安全公告内容包括:
用于对比生产网站和已知无害镜像的脚本
检测 web 流量中异常 URL 的 Splunk 查询
一款互联网信息服务 (IIS) 日志分析工具
常见 web shell 的网络流量签名
识别意外网络流的说明
识别 Sysmon 数据中异常流程调用的说明
拦截对 web 可访问目录进行更改的 HIPS 规则
常被利用的 web 应用程序漏洞列表
NSA 也将其中一些工具发布在其 GitHub 页面。虽然这份联合公告中提供了相关建议和免费工具,按建议系统管理员在搜索已遭攻陷的主机前首先修复系统,先修复公告中提到的常被利用的服务器软件就是一个不错的选择,因为这些系统在近几个月来饱受攻击。列表中包含了多款流行工具中的漏洞,如微软 SharePoint、微软 Exchange、Citrix、Atlassian Confluence、WordPress、Zoho ManageEngine 和 Adobe ColdFusion 等。公告指出,列表的目的并非穷尽所有的常用漏洞,而是提供一些常被利用的案例建议,并表示“建议组织机构尽快同时修复面向互联网和内部 web 应用程序,来应对 n-day 漏洞带来的风险”。https://media.defense.gov/2020/Apr/22/2002285959/-1/-1/0/DETECT%20AND%20PREVENT%20WEB%20SHELL%20MALWARE.PDF
https://www.zdnet.com/article/nsa-shares-list-of-vulnerabilities-commonly-exploited-to-plant-web-shells/题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~