2020-02-12

WebShell形势调查与应对方法

作者:好中文的样子 所属分类 - 安全 - 干货

最近,发现一个服务器配置错误。攻击者可以在网络服务器的多个文件夹中部署webShell,导致服务帐户和域管理帐户受到攻击。攻击者利用net.exe进行侦察,利用nbstat.exe扫描其他目标系统,最后利用PsExec进行横向移动。 攻击者在其他系统上安装了额外的网络外壳,并在外部网络访问(OWA)服务器上安装了动态链接库后门。为了保持对服务器的永久控制,后门本身注册充当服务或交换传输代理,允许它访问和拦截所有传入和传出的电子邮件,并收集敏感信息。后门程序还执行其他攻击命令并下载恶意有效负载。此外,攻击者还发送了一封特殊的电子邮件,DLL后门会将其解释为一个命令。

攻击途径与形势

如不经常留意服务器运行情况,某些承载ASP页面的服务器当中经常会出现下图所示的中国菜刀:

ASP版本中国菜刀
C#版本大马

当然,一些PHP服务器也藏有中国菜刀,例如:

php版本中国菜刀

一旦网络外壳成功插入网络服务器,攻击者就可以在网络服务器上执行各种任务。Webshell可以窃取数据,利用漏洞,并运行其他恶意命令来进一步破坏。 Web shell已经影响了许多行业,公共部门组织是最常见的目标部门之一。除了利用网络应用程序或网络服务器中的漏洞,攻击者还利用服务器中的其他漏洞。例如,它缺乏最新的安全更新、防病毒工具、网络保护、安全配置等。攻击通常发生在周末或休息时间,此时可能无法立即检测到攻击并做出响应。这些漏洞很常见,从2017年开始,平均每月在46,000台不同的机器上检测到77,000个与网络外壳相关的文件。

如何检测与预防?

由于webshell是一个多方面的威胁,企业应该从多个攻击面建立全面防御:身份验证、终端、电子邮件和数据、应用程序和基础架构等。 了解面向互联网的服务器是检测和解决网络威胁的关键。可以通过监视网络应用程序目录中的文件写入来检测网络外壳的安装。应用程序(如Outlook Web Access(OWA))在安装后很少更改,写入这些应用程序目录应被视为可疑操作。 通过分析w3wp.exe这个进程,可以检测到网络外壳的活动。与侦察活动相关的过程序列,例如net.exe、ping.exe、systeminfo.exe和hostname.exe的过程序列。w3wp.exe在通常不执行进程的应用程序池中运行的任何cmd.exe进程,如“MSExchangeOWAAppPool”,都应被视为异常和潜在的恶意进程。

webshell检查
进程关系表

像大多数安全问题一样,预防至关重要。通过采取以下预防措施,可以增强系统抵御webshell攻击的能力:

  • 1.识别并修复网络应用程序和网络服务器中的漏洞或错误配置,并及时更新它们。
  • 2.定期查看和检查网络服务器的日志,并注意所有直接暴露在互联网上的系统。
  • 3.尽可能使用Windows Defender防火墙、入侵防御设备和网络防火墙来防止端点之间的命令执行和与控制服务器的通信,并限制横向移动和其他攻击活动。
  • 4.检查外围防火墙和代理,以限制对服务的不必要访问,包括通过非标准端口访问服务。
  • 5.启用云保护以获得最新的防御措施。
  • 6.教育最终用户如何防止恶意软件感染。建立用户需要凭据限制。