shell中web Shell攻擊調(diào)查的示例分析

這篇文章給大家分享的是有關(guān)shell中web Shell攻擊調(diào)查的示例分析的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過來看看吧。

近期發(fā)現(xiàn)某服務(wù)器配置錯(cuò)誤，攻擊者可在web服務(wù)器上的多個(gè)文件夾中部署webshell，導(dǎo)致服務(wù)帳戶和域管理帳戶被攻擊。攻擊者使用net.exe執(zhí)行偵察，使用nbstat.exe掃描其他目標(biāo)系統(tǒng)，最終使用PsExec橫向移動(dòng)。

攻擊者在其他系統(tǒng)上安裝了額外的web shell，并在outlookweb Access（OWA）服務(wù)器上安裝了DLL后門。為了在服務(wù)器上持久控制，后門將自己注冊(cè)為服務(wù)或Exchange傳輸代理，從而允許它訪問和攔截所有傳入和傳出的電子郵件，并收集敏感信息。后門程序還執(zhí)行其他攻擊命令以及下載惡意有效載荷。此外，攻擊者還發(fā)送了特殊電子郵件，DLL后門會(huì)將其解釋為命令。

這起案件是常見的web攻擊之一，影響到各個(gè)部門的多個(gè)組織。常用web開發(fā)編程語(yǔ)言（如ASP、PHP、JSP）編寫惡意代碼，攻擊者將其植入web服務(wù)器上，可遠(yuǎn)程訪問和代碼執(zhí)行，通過執(zhí)行命令從Web服務(wù)器竊取數(shù)據(jù)。

當(dāng)前形勢(shì)下Web Shell攻擊

在攻擊中觀察到包括 ZINC, KRYPTON和 GALLIUM多個(gè)shell。為了植入webshell，攻擊者利用暴露在互聯(lián)網(wǎng)上的web服務(wù)器安全漏洞進(jìn)行攻擊，通常是web應(yīng)用程序中的漏洞，例如CVE-2019-0604或CVE-2019-16759。

在對(duì)這些類型的攻擊的調(diào)查中，發(fā)現(xiàn)文件中的web shell試圖使用web服務(wù)器中合法文件名稱隱藏或混合，例如：

index.aspx

fonts.aspx

css.aspx

global.aspx

default.php

function.php

Fileuploader.php

help.js

write.jsp

31.jsp

China Chopper是最常用的web shell之一，常見示例如下：

服務(wù)器中發(fā)現(xiàn)的jsp惡意代碼如下：

php語(yǔ)言編寫的China Chopper變體：

KRYPTON在一個(gè)ASP.NET頁(yè)面中使用了用C#編寫的web shell：

一旦web shell成功插入web服務(wù)器，攻擊者就可以在web服務(wù)器上執(zhí)行各種任務(wù)。Webshell可以竊取數(shù)據(jù)，漏洞攻擊，并運(yùn)行其他惡意命令進(jìn)一步進(jìn)行破壞。

Web shell已經(jīng)影響到了很多行業(yè)，公共部門組織是最常見的目標(biāo)部門之一。除了利用web應(yīng)用程序或web服務(wù)器中的漏洞外，攻擊者還利用服務(wù)器中的其他弱點(diǎn)。例如缺少最新的安全更新、防病毒工具、網(wǎng)絡(luò)保護(hù)、安全配置等。攻擊通常發(fā)生在周末或休息時(shí)間，這時(shí)攻擊可能不會(huì)立即被發(fā)現(xiàn)和響應(yīng)。這些漏洞攻擊很普遍，每個(gè)月微軟（ATP）平均會(huì)在46000臺(tái)不同的機(jī)器上檢測(cè)到77000個(gè)webshell相關(guān)文件。

檢測(cè)與預(yù)防

由于webshell是一個(gè)多方面的威脅，企業(yè)應(yīng)該從多個(gè)攻擊面建立全面的防御：身份驗(yàn)證、終端、電子郵件和數(shù)據(jù)、應(yīng)用程序和基礎(chǔ)架構(gòu)等。

了解面向internet的服務(wù)器是檢測(cè)和解決web威脅的關(guān)鍵?？梢酝ㄟ^監(jiān)視web應(yīng)用程序目錄中的文件寫入來檢測(cè)web shell的安裝。Outlook Web Access（OWA）這樣的應(yīng)用程序在安裝后很少更改，對(duì)這些應(yīng)用程序目錄的寫入應(yīng)該被視為可疑操作。

通過分析信息服務(wù)（IIS）w3wp.exe創(chuàng)建的進(jìn)程來檢測(cè)webshell活動(dòng)。與偵察活動(dòng)相關(guān)聯(lián)的進(jìn)程序列，如net.exe、ping.exe、systeminfo.exe和hostname.exe進(jìn)程序列。w3wp.exe在通常不執(zhí)行諸如“MSExchangeOWAAppPool”進(jìn)程的應(yīng)用程序池中運(yùn)行的任何cmd.exe進(jìn)程都應(yīng)被視為異常并視為潛在的惡意行為。

與大多數(shù)安全問題一樣，預(yù)防至關(guān)重要。通過采取以下預(yù)防措施可以增強(qiáng)系統(tǒng)抵御webshell攻擊的能力：

1、識(shí)別并修復(fù)web應(yīng)用程序和web服務(wù)器中的漏洞或錯(cuò)誤配置，并及時(shí)進(jìn)行更新。

2、經(jīng)常審核和檢查web服務(wù)器的日志，注意直接暴露在internet上的所有系統(tǒng)。

3、盡可能利用Windows Defender防火墻、入侵防御設(shè)備和網(wǎng)絡(luò)防火墻來阻止端點(diǎn)之間的命令執(zhí)行和與控制服務(wù)器通信，限制橫向移動(dòng)和其他攻擊活動(dòng)。

4、檢查外圍防火墻和代理以限制對(duì)服務(wù)的不必要訪問，包括通過非標(biāo)準(zhǔn)端口訪問服務(wù)。

5、啟用云保護(hù)以獲得最新防御措施。

6、教育終端用戶如何預(yù)防惡意軟件感染，建立用戶是要進(jìn)行憑據(jù)限制。

感謝各位的閱讀！關(guān)于“shell中web Shell攻擊調(diào)查的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)，如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！