美国国家安全局(NSA)和澳大利亚信号局(ASD)联合发布报告,警告黑客正在利用易受攻击的Web服务器部署WebShell。黑客可以使用WebShell恶意软件工具感染网络或暴露在网络上的服务器,从而获得权限,远程执行任意代码,并在同一网络内的设备上传播其他恶意软件负载。这些恶意软件的有效负载可以多种形式上传到易受攻击的服务器,从专门设计用于提供Webshell功能和Perl、Ruby、Python和Unixshell脚本的程序,到应用程序插件和在Web应用程序页面上注入的PHP和ASP代码段等。Webshell是当今最流行的恶意软件之一。术语“WebShell”是指安装在被黑服务器上的恶意程序或脚本。Webshell提供了一个可视化界面,黑客可以使用该界面与受感染的服务器及其文件系统进行交互。大多数网络外壳允许黑客重命名、复制、移动、编辑或上传新文件到服务器。它们还可用于更改文件和目录权限,或从服务器存档和下载(窃取)数据。WebShell可以用从Go到PHP的任何编程语言编写。这使黑客能够在任何具有通用名称(例如index.detection)的网站的代码中隐藏webshell。“恶意网络攻击者正在使用webshell来访问用户网络,”美国国家安全局说。ASD补充说:“该指南将帮助网络运营商承担起Web服务器安全的责任。”WebShellDetection,Defense,andMitigation两国政府情报机构联合发布的长达17页的安全报告为安全团队提供了大量参考信息,例如例如检测隐藏的后门,以及在发现后管理和恢复受影响的进程,在未打补丁的服务器上部署工具来阻止恶意攻击者。NSA有一个专门的GitHub存储库,其中包含该公司用于检测和阻止WebShell威胁以及阻止WebShell部署的工具,包括:“已知良好”文件比较脚本,用于将伪装图像与流行图像进行比较Web流量Internet信息服务(IIS)日志分析工具常见WebShell的网络流量签名识别意外网络流量的说明识别Sysmon数据中异常进程调用的说明使用Audited识别异常进程调用可访问目录常用Web应用程序漏洞列表黑客利用Web应用程序漏洞或加载其他受感染系统来部署Webshell。Webshell可以用作持久性后门或中继节点,并将攻击者的命令路由到其他系统。攻击者经常将多个受感染系统上的webshell链接在一起,以跨网络路由流量,例如从外部网络系统到内部网络。用于部署Webshell的漏洞因此,企业应尽快修补网络应用和内部Web应用,并立即采取措施防止攻击者利用“n-day”漏洞进一步危害服务器的风险。NSA和ASD列出了黑客可以用来安装Webshell恶意软件的各种常见安全漏洞,例如MicrosoftSharePoint、MicrosoftExchange、Citrix、AtlassianConfluence、WordPress、ZohoManageEngine和Adob??eColdFusion等流行工具中的漏洞。每天跟踪约77,000个Webshell为了检测黑客利用WebShell的程度,微软在2月份发布了一份报告,显示其MicrosoftDefender高级威胁防护(ATP)团队“平均在46,000台不同的计算机上平均使用77,000个Webshell并检测到相关的人工制品。”这表明Webshell是目前最流行的恶意软件类型之一。微软表示:“有趣的是,我们观察到攻击通常发生在周末或下班时间,而且攻击可能不会立即被发现和响应。”
