2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
去年,安裝在Web服務(wù)器上的惡意Web Shell的數(shù)量顯著增加,并且在2021年8月至2021年1月之間,Microsoft每個(gè)月平均記錄了14萬次此類威脅。網(wǎng)絡(luò)外殼在網(wǎng)絡(luò)分子中越來越流行的主要原因之一是它們的簡單性和有效性。對于那些不熟悉的人,Web Shell通常是一小段用Web開發(fā)編程語言(例如ASP,PHP和JSP)編寫的惡意代碼。
然后,攻擊者將這些Web Shell植入服務(wù)器,以提供對服務(wù)器功能的遠(yuǎn)程訪問和代碼執(zhí)行。攻擊者可以使用Web Shell在受感染的服務(wù)器上運(yùn)行命令以竊取數(shù)據(jù),或?qū)⑵溆米鞅I竊,橫向移動(dòng),部署其他有效載荷或進(jìn)行鍵盤活動(dòng)的啟動(dòng)板,同時(shí)將其保留在目標(biāo)組織的網(wǎng)絡(luò)中。
根據(jù)最新的Microsoft 365 Defender數(shù)據(jù),到2020年,Web Shell的月平均訪問量幾乎翻了一番,而該軟件巨頭在2019年觀察到的月平均訪問量為77,000個(gè)。
在用于創(chuàng)建Web Shell的每種編程語言中,有幾種執(zhí)行任意命令的方法以及多種用于任意攻擊者輸入的方法。攻擊者還可以隱藏用戶代理字符串中的指令或在Web服務(wù)器/客戶端交換期間傳遞的任何參數(shù)。
使得檢測Web外殼特別困難的原因是,直到使用完外殼之后,它們內(nèi)容的上下文才不清楚。檢測Web Shell時(shí)的另一個(gè)挑戰(zhàn)是發(fā)現(xiàn)創(chuàng)建Web Shell的攻擊者的意圖,即使看起來無害的腳本也可能因意圖而惡意。
攻擊者還將任意輸入文件上傳到服務(wù)器的Web目錄中,然后從那里上傳功能齊全的Web Shell,該Web Shell允許執(zhí)行任意代碼。這些文件上傳Web Shell簡單,輕便,并且由于無法單獨(dú)執(zhí)行命令而經(jīng)常被忽略。取而代之的是,它們用于將文件(例如功能齊全的Web Shell)上載到組織的Web服務(wù)器上。
還已知某些攻擊者以不可執(zhí)行的文件格式(例如媒體文件)隱藏其Web Shell。這些媒體文件在計(jì)算機(jī)上打開時(shí)是無害的,但是當(dāng)Web瀏覽器向服務(wù)器詢問此文件時(shí),然后在服務(wù)器端執(zhí)行惡意代碼。
為避免成為Web Shell攻擊的受害者,Microsoft建議組織修補(bǔ)面向公眾的系統(tǒng),將防病毒保護(hù)擴(kuò)展到Web服務(wù)器,并經(jīng)常審核和查看Web服務(wù)器中的日志。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。