美國(guó)國(guó)家安全局(NSA)和澳大利亞信號(hào)局(ASD)聯(lián)合發(fā)布一份報(bào)告，警告黑客正利用易受攻擊的Web服務(wù)器來(lái)部署Web Shell。

[[323612]]

黑客可以利用Web Shell惡意工具來(lái)感染網(wǎng)絡(luò)或者是暴露在網(wǎng)絡(luò)上的服務(wù)器，并由此獲取權(quán)限，遠(yuǎn)程執(zhí)行任意代碼，在同一網(wǎng)絡(luò)內(nèi)的設(shè)備傳播其他的惡意軟件有效載荷。

這些惡意軟件的有效載荷可以以多種形式上傳到易受攻擊的服務(wù)器上，從專(zhuān)門(mén)設(shè)計(jì)提供Web Shell功能和Perl、Ruby、Python和Unix Shell腳本的程序，到應(yīng)用程序插件以及在Web應(yīng)用程序頁(yè)面中注入的PHP和ASP代碼段等。

Web Shell是當(dāng)今最流行的惡意軟件之一。術(shù)語(yǔ)“ Web Shell”是指在被黑客入侵的服務(wù)器上安裝的惡意程序或腳本。

Web Shell提供了一個(gè)可視界面，黑客可以使用該界面與被入侵的服務(wù)器及其文件系統(tǒng)進(jìn)行交互。大多數(shù)Web Shell都允許黑客重命名、復(fù)制、移動(dòng)、編輯或上傳服務(wù)器新文件。它們還可用于更改文件和目錄權(quán)限，或從服務(wù)器存檔和下載(竊取)數(shù)據(jù)。

Web Shell可以用從Go到PHP的任何編程語(yǔ)言編寫(xiě)。這使黑客能夠以通用名稱(chēng)(例如index.asp或uploader.php)將Web Shell隱藏在任何網(wǎng)站的代碼中，這使得操作人員幾乎不可能在沒(méi)有網(wǎng)絡(luò)防火墻或網(wǎng)絡(luò)惡意軟件掃描程序幫助的情況下進(jìn)行檢測(cè)。

NSA說(shuō)到：“惡意網(wǎng)絡(luò)攻擊者正利用Web Shell來(lái)獲取用戶網(wǎng)絡(luò)的訪問(wèn)權(quán)。”

ASD補(bǔ)充說(shuō)明：“這份指導(dǎo)報(bào)告將有助于網(wǎng)絡(luò)運(yùn)營(yíng)人員為web服務(wù)器的安全性負(fù)責(zé)。”

Web Shell 檢測(cè)、防御、緩解

兩國(guó)情報(bào)政府機(jī)構(gòu)聯(lián)合發(fā)布的安全報(bào)告長(zhǎng)達(dá)17頁(yè)，其中為安全團(tuán)隊(duì)提供大量參考信息，比如檢測(cè)隱藏后門(mén)，并在發(fā)現(xiàn)后管理和恢復(fù)影響進(jìn)程，在未打補(bǔ)丁的服務(wù)器上部署工具來(lái)攔截惡意攻擊者。

NSA有一個(gè)專(zhuān)用的GitHub存儲(chǔ)庫(kù)，其中包含公司用來(lái)檢測(cè)和阻止Web Shell威脅并攔截Web Shell部署的工具，這些工具包括：

• “Known-good”文件對(duì)比腳本 ，可將偽裝圖片和流行圖片進(jìn)行對(duì)比
• Splunk查詢(xún)，用于檢測(cè)Web流量中的異常URL
• Internet信息服務(wù)(IIS)日志分析工具
• 常見(jiàn)Web Shell的網(wǎng)絡(luò)流量簽名
• 識(shí)別意外網(wǎng)絡(luò)流量的說(shuō)明
• 識(shí)別Sysmon數(shù)據(jù)中異常流程調(diào)用的說(shuō)明
• 使用Audited識(shí)別異常流程調(diào)用的說(shuō)明
• 用于阻止對(duì)可通過(guò)Web訪問(wèn)的目錄的更改的HIPS規(guī)則
• 常用的Web應(yīng)用程序漏洞列表

黑客利用Web應(yīng)用程序漏洞或?qū)⑵渌腥鞠到y(tǒng)加載來(lái)部署Web Shell 。Web Shell可以用作持久后門(mén)或中繼節(jié)點(diǎn)，并將攻擊者的命令路由轉(zhuǎn)到其他系統(tǒng)。

攻擊者經(jīng)常將多個(gè)感染系統(tǒng)上的Web Shell鏈接在一起，跨網(wǎng)絡(luò)按特定路線傳輸流量，例如從外部網(wǎng)絡(luò)系統(tǒng)到內(nèi)部網(wǎng)絡(luò)。

用于部署Web Shell的漏洞

因此，企業(yè)應(yīng)盡快修復(fù)其網(wǎng)絡(luò)上的應(yīng)用程序和內(nèi)部Web應(yīng)用程序，并立即采取措施，防范攻擊者利用“n-day”漏洞進(jìn)一步危害服務(wù)器的風(fēng)險(xiǎn)。

NSA和ASD列出了多種常見(jiàn)的安全漏洞，黑客可能利用這些來(lái)安裝Web Shell惡意軟件，比如Microsoft SharePoint、Microsoft Exchange、Citrix、Atlassian Confluence、WordPress、Zoho ManageEngine和Adobe ColdFusion等流行工具中的漏洞。

每日約有77000個(gè)Web Shell利用追蹤

為檢測(cè)黑客對(duì)Web Shell的利用程度，微軟在2月發(fā)布一份報(bào)告，數(shù)據(jù)表明其Microsoft Defender高級(jí)威脅防護(hù)(ATP)團(tuán)隊(duì)“在平均46000臺(tái)不同的計(jì)算機(jī)上平均檢測(cè)到77000個(gè)Web Shell和相關(guān)工件。 ”這表明，Web Shell是當(dāng)前最流行的惡意軟件類(lèi)型之一。

微軟表示：“有趣的是，我們觀察到攻擊通常發(fā)生在周末或下班時(shí)間，而攻擊可能不會(huì)立即發(fā)現(xiàn)并做出響應(yīng)。”