美國(guó)國(guó)家安全局(NSA)和澳大利亞信號(hào)局(ASD)已發(fā)布聯(lián)合網(wǎng)絡(luò)安全信息表(CSI)�,其中提供了有關(guān)威脅行為者利用漏洞在Web服務(wù)器上安裝Web Shell惡意軟件的詳細(xì)信息。
Web Shell通常部署在受害人的Web服務(wù)器上的軟件可用于命令執(zhí)行���,從而為攻擊者提供對(duì)受感染環(huán)境的持久訪問(wèn)����。可以將通信通道與合法流量混合在一起�����,以逃避檢測(cè)��。
為了安裝Web Shell���,攻擊者通常將Web應(yīng)用程序中的漏洞作為目標(biāo)���,或?qū)⒋a上傳到現(xiàn)有的受感染系統(tǒng)。安裝后����,這些Web Shell可以用作后門(mén)或中繼節(jié)點(diǎn)�����,以將命令路由到其他系統(tǒng)。
盡管通常預(yù)期面向Internet的服務(wù)器將被定位為Web Shell安裝的目標(biāo)��,但非面向Internet的內(nèi)部系統(tǒng)也通常也被作為目標(biāo)����,因?yàn)橛捎跍蟮难a(bǔ)丁程序管理或?qū)捤傻陌踩砸螅瑑?nèi)部系統(tǒng)更加脆弱���,美國(guó)和澳大利亞的外國(guó)間諜機(jī)構(gòu)解釋?zhuān)?/span>PDF)�。
“惡意網(wǎng)絡(luò)參與者越來(lái)越多地利用這種類(lèi)型的惡意軟件來(lái)獲得對(duì)受感染網(wǎng)絡(luò)的一致訪問(wèn)�,同時(shí)使用與合法流量完美融合的通信。這意味著攻擊者可能會(huì)通過(guò)HTTPS發(fā)送系統(tǒng)命令��,或者將命令路由到其他系統(tǒng)���,包括內(nèi)部網(wǎng)絡(luò)�,這可能會(huì)顯示為正常的網(wǎng)絡(luò)流量����。
CSI包含有關(guān)組織如何檢測(cè)Web Shell���,如何防止Web Shell影響其網(wǎng)絡(luò)以及在遭受攻擊后恢復(fù)的信息。除了檢測(cè)技術(shù)外�,它還包括指向GitHub上維護(hù)的簽名和列表的鏈接。
該通報(bào)還為安全團(tuán)隊(duì)提供了腳本����,他們可以使用這些腳本將網(wǎng)站與已知良好的圖像進(jìn)行比較,用于識(shí)別Web流量中異常URI的Splunk查詢(xún)���,Internet信息服務(wù)(IIS)日志分析工具�����,常見(jiàn)網(wǎng)絡(luò)流量的簽名���。 Web Shell,有關(guān)如何識(shí)別意外的網(wǎng)絡(luò)流量和異常進(jìn)程調(diào)用的詳細(xì)信息�����,常用的Web應(yīng)用程序漏洞列表以及用于阻止對(duì)Web可訪問(wèn)目錄進(jìn)行更改的HIPS規(guī)則���。
通常針對(duì)的Web應(yīng)用程序安全漏洞會(huì)影響Microsoft SharePoint(CVE-2019-0604)和Exchange Server(CVE-2020-0688)��,Citrix產(chǎn)品(CVE-2019-19781)���,Atlassian Confluence(CVE-2019-3396和CVE-2019- 3398)和人群(CVE-2019-11580)��,WordPress“社會(huì)戰(zhàn)爭(zhēng)”插件(CVE-2019-9978)����,Progress Telerik UI(CVE-2019-18935�����,CVE-2017-11317和CVE-2017-11357)�,Zoho NSA和ASD說(shuō)明包括ManageEngine(CVE-2020-10189和CVE-2019-8394)和Adobe ColdFusion(CVE-2018-15961)����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
