美国国家安全局(NSA)和澳大利亚信号局(ASD)本周发布了一份安全公告,警告企业尽快从Web服务器和内部服务器中检测常见的WebShell恶意软件。

两家机构现已发布了一份长达17页的联合报告,其中包含一些工具,可帮助系统管理员检测和处理这些WebShell威胁,包括:

·用于将生产网站与知名图片进行比较的脚本

·Splunk查询,用于检测Web流量中的异常URL

·互联网信息服务(IIS)日志分析工具

·常见WebShell的网络流量签名

·识别意外网络流量的说明

·识别Sysmon数据中异常流程调用的说明

·使用Audited识别异常流程调用的说明

·用于阻止对可通过Web访问的目录的更改的HIPS规则

·常用的Web应用程序漏洞列表

最流行的恶意软件之一

WebShell是当今最流行的恶意软件形式之一。术语“WebShell”是指在被黑客入侵的服务器上安装的恶意程序或脚本。

WebShell提供了一个可视界面,黑客可以使用该界面与被入侵的服务器及其文件系统进行交互。大多数WebShell都具有允许黑客重命名、复制、移动、编辑或上载服务器上新文件的功能。它们还可用于更改文件和目录权限,或从服务器存档和下载(窃取)数据。

黑客通过利用面向Internet的服务器或Web应用程序(例如CMS、CMS插件、CMS主题、CRM、Intranet或其他企业应用程序等)中的漏洞来安装WebShell。

WebShell可以用从Go到PHP的任何编程语言编写。这使黑客能够以通用名称(例如index.asp或uploader.php)将网络外壳隐藏在任何网站的代码中,这使得在没有Web防火墙或Web恶意软件扫描器的帮助下,几乎不可能进行操作员的检测。

微软在今年2月发布的一份报告中表示,它每天检测到大约77,000个活动的WebShell,意味着WebShell已经成为当今最流行的恶意软件类型之一。

WEBSHELL可以充当内部网络的后门

但是,许多公司对WebShell的危险性认识不足。

在本周发布的安全公告中,NSA和ASD两家机构表示:

WebShell可以充当持久的后门或中继节点,将攻击者的命令路由到其他系统。攻击者经常将多个受损系统上的WebShell链接在一起,以跨网络路由流量,例如从面向Internet的系统到内部网络。

该通报中提到的一些工具也可以在NSA的GitHub资料中找到(https://github.com/nsacyber/Mitigating-Web-Shells)。

尽管联合公告中包含的所有建议和免费工具都很不错,但还是建议系统管理员先对系统进行修补,然后再搜索已受损的主机。NSA和ASD给出的常用服务器软件列表是开始打补丁优先对象,因为最近几个月这些系统已成为攻击目标。

该软件列表包括Microsoft SharePoint、Microsoft Exchange、Citrix、Atlassian Confluence、WordPress、Zoho ManageEngine和Adobe ColdFusion等流行工具中的漏洞。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。