专家表示,Web shell 是一种常见的后利用工具,它提供易于使用的界面,通过该界面向受感染的服务器发出命令,随着攻击者对云的了解越来越多,Web shell 已经变得越来越流行。
最近发现一种名为 WSO-NG 的 Web shell 将其登录站点伪装成 404“页面未找到”启动页面,通过 VirusTotal 等合法服务收集有关潜在目标的信息,并扫描与 Amazon Web Services 相关的元数据作为途径互联网管理公司 Akamai 表示,为了窃取开发者的凭证 22 月 XNUMX 日发布的分析。 Cl0p 和 C3RB3R 勒索软件团伙已经部署了其他 Web shell,后者利用了运行 Atlassian Confluence 企业服务器的服务器 大规模剥削运动 本月早些时候。
Akamai 威胁研究总监 Maxim Zavodchik 表示,随着攻击者越来越多地瞄准云资源,Web shell 已成为向受感染服务器发出命令的一种易于使用的方式。
“如今,Web 应用程序(不仅仅是 API)允许的攻击面非常大,”他说。 “因此,当您利用 Web 漏洞时,最简单的下一步就是部署一个 Web 平台 - 一个植入程序,它不是二进制文件,而是与 Web 服务器使用相同的语言。”
Akamai 在大规模活动中使用 WSO-NG 后重点关注它 针对 Magento 2 电子商务商店,但其他组使用不同的 Web shell。 例如,据报道,Cl0p 勒索软件组织在 2020 年利用 Kiteworks Accellion FTA 中的漏洞以及 XNUMX 月份利用 Progress Software 的 MOVEit 托管文件传输服务中的漏洞后,分别删除了 DEWMODE 和 LEMURLOOT Web shell。 网络公司 F2023 5 年 XNUMX 月的分析.
微软指出,2021 年 Web shell 的使用急剧增长,与前一年相比,该公司在受监控服务器上遇到的 Web shell 数量几乎增加了一倍。 在分析中指出。 无法获得最新数据。
“Web shell 允许攻击者在服务器上运行命令来窃取数据或将服务器用作其他活动的启动台,例如凭证盗窃、横向移动、部署额外的有效负载或手动键盘活动,同时允许攻击者持续存在于受影响的组织中,”微软在分析中表示。
隐秘且匿名
攻击者使用 Web shell 的原因之一是因为它们能够隐藏在雷达之下。 Web shell 很难用静态分析技术检测到,因为文件和代码很容易修改。 此外,Web shell 流量(因为它只是 HTTP 或 HTTPS)直接混合在一起,使得流量分析很难检测到,Akamai 的 Zavodchik 说。
“他们在相同的端口上进行通信,这只是网站的另一个页面,”他说。 “它不像经典的恶意软件那样会打开从服务器到攻击者的连接。 攻击者只是浏览该网站。 不存在恶意连接,因此不会有从服务器到攻击者的异常连接。”
此外,由于有大量现成的 Web shell,攻击者可以使用它们,而无需向防御者透露其身份。 例如,WSO-NG Web shell 可在 GitHub 上获取。 Kali Linux 是开源的; 它是一个 Linux 发行版,专注于为红队和进攻性行动提供易于使用的工具,它提供 14 种不同的 Web shell,使渗透测试人员能够上传和下载文件、执行命令以及创建和查询数据库和档案。
“当 APT 威胁行为者……从专门定制的二进制植入程序转向 Web shell(无论是他们自己的 Web shell 还是一些通用的 Web shell)时,没有人可以将这些因素归因于特定的群体,”Zavodchik 说。
以可疑的警惕性进行防御
最好的防御措施是监控 Web 流量是否存在可疑模式、异常 URL 参数以及未知 URL 和 IP 地址。 F5 Networks 的高级威胁研究员 Malcolm Heath 在 XNUMX 月份关于 Web shell 的文章中写道,验证服务器的完整性也是一项关键的防御策略。
该公司表示:“目录内容监控也是一个好方法,有些程序可以立即检测受监控目录的更改并自动回滚更改。” “此外,一些防御工具可以检测异常进程的创建。”
其他方法包括重点检测初始访问和 Web shell 的部署。 Web 应用程序防火墙 (WAF) 具有查看流量的能力,也是可靠的防御措施。
- :是
- :不是
- 14
- 2020
- 2021
- 2023
- 7
- a
- 对,能力--
- 关于
- ACCESS
- 根据
- 活动
- 活动
- 演员
- 增加
- 额外
- 另外
- 地址
- 影响
- 后
- 让
- 允许
- 允许
- 还
- Amazon
- 亚马逊网络服务
- an
- 分析
- 和
- 另一个
- APIs
- 应用领域
- 应用领域
- 的途径
- APT
- 档案
- 保健
- AS
- At
- 攻击
- 自动
- 可使用
- 背部
- BE
- 因为
- 成为
- 很
- 最佳
- 混纺
- 但是
- by
- 营销活动
- CAN
- 更改
- 经典
- 云端技术
- 码
- 相当常见
- 通信
- 公司
- 相比
- 妥协
- 合流
- 地都
- 连接
- 内容
- 可以
- 创造
- 创建
- 凭据
- 资历
- data
- 数据库
- 捍卫者
- 防卫
- 部署
- 部署
- 部署
- 检测
- 检测
- 开发
- 不同
- 副总经理
- 目录
- 分配
- 翻番
- 下载
- 显着
- 下降
- 电子商务行业
- 此前
- 最简单的
- 易
- 易于使用
- 或
- 企业
- 例子
- 执行
- 存在
- 专家
- 开发
- 剥削
- 利用
- 因素
- 文件
- 档
- 防火墙
- 公司
- 流动
- 重点
- 聚焦
- 以下
- 针对
- 发现
- 止
- Gain增益
- 黑帮
- 搜集
- GitHub上
- 给予
- Go
- 非常好
- 团队
- 组的
- 长大的
- 民政事务总署
- 硬
- 有
- he
- HTTP
- HTTPS
- 身分
- 立即
- in
- 包括
- 日益
- 信息
- 初始
- 例
- 诚信
- 接口
- 网络
- IP
- IP地址
- 问题
- 发行
- IT
- 它的
- JPG
- 六月
- 只是
- 键
- 已知
- 语言
- 大
- 发射
- 合法
- 喜欢
- Linux的
- 登录
- 看
- 制作
- 恶意软件
- 管理
- 颠覆性技术
- 许多
- 质量
- 大规模
- 格言
- 可能..
- 措施
- 元数据
- 方法
- 微软
- 修改
- 监控
- 监控
- 月
- 更多
- 此外
- 移动
- 运动
- 几乎
- 工业网络
- 网络
- 下页
- 没有
- 注意到
- 十一月
- of
- 折扣
- 进攻
- on
- 一
- 打开
- 开放源码
- 运营
- or
- 组织
- 其他名称
- 己
- 垫
- 页
- 参数
- 路
- 模式
- 渗透
- 坚持
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 热门
- 港口
- 帖子
- 发布
- 潜力
- 先
- 过程
- 训练课程
- 进展
- 提供
- 优
- 雷达
- 勒索
- RE
- 真
- 原因
- 最近
- 最近
- 红色
- 有关
- 研究
- 研究员
- 资源
- 分别
- 右
- 滚
- 运行
- 运行
- s
- 同
- 对工资盗窃
- 说
- 扫描
- 看到
- 看到
- 前辈
- 服务器
- 服务器
- 服务
- 特色服务
- 壳
- 网站
- So
- 软件
- 固体
- 一些
- 东西
- 极致
- 来源
- 特别
- 具体的
- 说
- 静止
- 留
- Stealth
- 步
- 这样
- 磁化面
- 可疑
- 量身定制
- 拍摄
- 会谈
- 目标
- 目标
- 队
- 技术
- 测试仪
- 这
- 盗窃
- 其
- 他们
- 那里。
- 他们
- Free Introduction
- 那些
- 威胁
- 威胁者
- 通过
- 至
- 今晚
- 工具
- 工具
- 交通
- 转让
- 类型
- 下
- 不明
- 网址
- 使用
- 验证
- 漏洞
- 漏洞
- 是
- 方法..
- 卷筒纸
- Web应用程序
- 网络应用
- Web服务器
- Web服务
- 网络流量
- 您的网站
- ,尤其是
- 这
- 而
- 将
- 也完全不需要
- 写
- 年
- 完全
- 和风网