E安全2月15日讯  近日,微软表示,在2020年8月至2021年1月期间,它每月检测到大约14万个网络恶意shell,相比去年报告的7.7万个,几乎翻了一倍。

图片来源:Microsoft

研究显示,由于黑客看待Web Shell的方式发生了转变,因此该数字有所增加。Web Shell曾被认为是黑客篡改网站的脚本工具,也是DDoS僵尸网络运营商的首选工具,如今已成为勒索软件团伙和个别国家黑客武器库的重要一部分,是复杂网络入侵中使用的关键工具。

Web Shell受黑客和勒索软件团伙欢迎的两个重要原因在于其多功能性和被入侵服务器的访问权限。Web Shell虽然是一些简单的脚本,但几乎可以使用任何运行在web服务器上的编程语言编写——例如PHP、ASP、JSP或JS,并且可以很容易地隐藏在网站的源代码中。这使其不易被检测到,通常需要进行人工分析。

此外,Web Shell为黑客和勒索软件团伙提供了一种通过图形界面在被黑客入侵的服务器上执行命令的途径,从而为攻击者提供了一种升级攻击的简单方法。

随着企业IT领域向混合云环境发展,运行Web服务器的公司数量在过去几年中有所增加,且在许多情况下,面向公众的服务器通常直接连接到企业内部网络。

正如微软的统计数据所示,网络攻击者发现了企业IT网络构成的变化后,加大了针对面向公众系统的网络攻击力度。

目前,Web shell在网络攻击中扮演着至关重要的角色,它为攻击者提供了一种方法来控制被入侵的服务器,然后编排对目标内部网络的控制。

2020年4月,美国国家安全局发布了一份包含25个常用漏洞的报告,其中就包含Web Shell。该报告不仅警告了这些漏洞被用于面向公众的系统,还警告了其在企业内网中的使用。

Web Shell正逐渐成为当今最大的网络安全威胁之一。当前,微软公司已重新调整处理Web Shell的方法。为了保证网络安全,操作系统制造商推荐了一些防御措施:

  • 基于大多数Web Shell是在攻击者利用未修补的漏洞之后安装的,应及时修补面向公众的系统。

  • 将防病毒保护从既有的服务器扩展到web服务器。

  • 将受病毒感染的服务器的损害限制在小部分系统上,而非在整个网络扩散。

  • 经常审查web服务器日志,尤其是针对更易受到攻击的公众系统。

  • 限制使用具有本地或域管理员级别特权的帐户。

  • 检查外围防火墙,以限制不必要的服务访问,包括通过非标准端口访问服务。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。