NSA发布WebShell恶意软件检测与预防报告

美国国家安全局（NSA）和澳大利亚信号局（ASD）本周发布了一份安全公告，警告企业尽快从Web服务器和内部服务器中检测常见的WebShell恶意软件。

两家机构现已发布了一份长达17页的联合报告，其中包含一些工具，可帮助系统管理员检测和处理这些WebShell威胁，包括：

·用于将生产网站与知名图片进行比较的脚本

·Splunk查询，用于检测Web流量中的异常URL

·互联网信息服务（IIS）日志分析工具

·常见WebShell的网络流量签名

·识别意外网络流量的说明

·识别Sysmon数据中异常流程调用的说明

·使用Audited识别异常流程调用的说明

·用于阻止对可通过Web访问的目录的更改的HIPS规则

·常用的Web应用程序漏洞列表

最流行的恶意软件之一

WebShell是当今最流行的恶意软件形式之一。术语“WebShell”是指在被黑客入侵的服务器上安装的恶意程序或脚本。

WebShell提供了一个可视界面，黑客可以使用该界面与被入侵的服务器及其文件系统进行交互。大多数WebShell都具有允许黑客重命名、复制、移动、编辑或上载服务器上新文件的功能。它们还可用于更改文件和目录权限，或从服务器存档和下载（窃取）数据。

黑客通过利用面向Internet的服务器或Web应用程序（例如CMS、CMS插件、CMS主题、CRM、Intranet或其他企业应用程序等）中的漏洞来安装WebShell。

WebShell可以用从Go到PHP的任何编程语言编写。这使黑客能够以通用名称（例如index.asp或uploader.php）将网络外壳隐藏在任何网站的代码中，这使得在没有Web防火墙或Web恶意软件扫描器的帮助下，几乎不可能进行操作员的检测。

微软在今年2月发布的一份报告中表示，它每天检测到大约77,000个活动的WebShell，意味着WebShell已经成为当今最流行的恶意软件类型之一。

WEBSHELL可以充当内部网络的后门

但是，许多公司对WebShell的危险性认识不足。

在本周发布的安全公告中，NSA和ASD两家机构表示：

WebShell可以充当持久的后门或中继节点，将攻击者的命令路由到其他系统。攻击者经常将多个受损系统上的WebShell链接在一起，以跨网络路由流量，例如从面向Internet的系统到内部网络。

该通报中提到的一些工具也可以在NSA的GitHub资料中找到（https://github.com/nsacyber/Mitigating-Web-Shells）。

尽管联合公告中包含的所有建议和免费工具都很不错，但还是建议系统管理员先对系统进行修补，然后再搜索已受损的主机。NSA和ASD给出的常用服务器软件列表是开始打补丁优先对象，因为最近几个月这些系统已成为攻击目标。

该软件列表包括Microsoft SharePoint、Microsoft Exchange、Citrix、Atlassian Confluence、WordPress、Zoho ManageEngine和Adobe ColdFusion等流行工具中的漏洞。

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。