NSA发布WebShell恶意软件检测与预防报告

作者:

时间:
2020-04-26

美国国家安全局(NSA)和澳大利亚信号局(ASD)本周发布了一份安全公告,警告企业尽快从Web服务器和内部服务器中检测常见的WebShell恶意软件。


两家机构现已发布了一份长达17页的联合报告(https://media.defense.gov/2020/Apr/22/2002285959/-1/-1/0/DETECT%20AND%20PREVENT%20WEB%20SHELL%20MALWARE.PDF ),其中包含一些工具,可帮助系统管理员检测和处理这些WebShell威胁,包括:



·用于将生产网站与知名图片进行比较的脚本

·Splunk查询,用于检测Web流量中的异常URL

·互联网信息服务(IIS)日志分析工具

·常见WebShell的网络流量签名

·识别意外网络流量的说明

·识别Sysmon数据中异常流程调用的说明

·使用Audited识别异常流程调用的说明

·用于阻止对可通过Web访问的目录的更改的HIPS规则

·常用的Web应用程序漏洞列表




最流行的恶意软件之一


WebShell是当今最流行的恶意软件形式之一。术语“WebShell”是指在被黑客入侵的服务器上安装的恶意程序或脚本。


WebShell提供了一个可视界面,黑客可以使用该界面与被入侵的服务器及其文件系统进行交互。大多数WebShell都具有允许黑客重命名、复制、移动、编辑或上载服务器上新文件的功能。它们还可用于更改文件和目录权限,或从服务器存档和下载(窃取)数据。


黑客通过利用面向Internet的服务器或Web应用程序(例如CMS、CMS插件、CMS主题、CRM、Intranet或其他企业应用程序等)中的漏洞来安装WebShell。


WebShell可以用从Go到PHP的任何编程语言编写。这使黑客能够以通用名称(例如index.asp或uploader.php)将网络外壳隐藏在任何网站的代码中,这使得在没有Web防火墙或Web恶意软件扫描器的帮助下,几乎不可能进行操作员的检测。


微软在今年2月发布的一份报告中表示,它每天检测到大约77,000个活动的WebShell,意味着WebShell已经成为当今最流行的恶意软件类型之一。



WEBSHELL可以充当内部网络的后门


但是,许多公司对WebShell的危险性认识不足。


在本周发布的安全公告中,NSA和ASD两家机构表示:


WebShell可以充当持久的后门或中继节点,将攻击者的命令路由到其他系统。攻击者经常将多个受损系统上的WebShell链接在一起,以跨网络路由流量,例如从面向Internet的系统到内部网络。


该通报中提到的一些工具也可以在NSA的GitHub资料中找到https://github.com/nsacyber/Mitigating-Web-Shells


尽管联合公告中包含的所有建议和免费工具都很不错,但还是建议系统管理员先对系统进行修补,然后再搜索已受损的主机。NSA和ASD给出的常用服务器软件列表是开始打补丁优先对象,因为最近几个月这些系统已成为攻击目标。


该软件列表包括Microsoft SharePoint、Microsoft Exchange、Citrix、Atlassian Confluence、WordPress、Zoho ManageEngine和Adobe ColdFusion等流行工具中的漏洞。