安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
情报机构共享Web Shell检测技术
2020-04-27 13:59:20 【

美国国家安全局(NSA)和澳大利亚信号局(ASD)已发布联合网络安全信息表(CSI),其中提供了有关威胁行为者利用漏洞在Web服务器上安装Web Shell恶意软件的详细信息。

Web Shell通常部署在受害人的Web服务器上的软件可用于命令执行,从而为攻击者提供对受感染环境的持久访问。可以将通信通道与合法流量混合在一起,以逃避检测。

为了安装Web Shell,攻击者通常将Web应用程序中的漏洞作为目标,或将代码上传到现有的受感染系统。安装后,这些Web Shell可以用作后门或中继节点,以将命令路由到其他系统。

尽管通常预期面向Internet的服务器将被定位为Web Shell安装的目标,但非面向Internet的内部系统也通常也被作为目标,因为由于滞后的补丁程序管理或宽松的安全性要求,内部系统更加脆弱,美国和澳大利亚的外国间谍机构解释(PDF)。

“恶意网络参与者越来越多地利用这种类型的恶意软件来获得对受感染网络的一致访问,同时使用与合法流量完美融合的通信。这意味着攻击者可能会通过HTTPS发送系统命令,或者将命令路由到其他系统,包括内部网络,这可能会显示为正常的网络流量。

CSI包含有关组织如何检测Web Shell,如何防止Web Shell影响其网络以及在遭受攻击后恢复的信息。除了检测技术外,它还包括指向GitHub上维护的签名和列表的链接。

该通报还为安全团队提供了脚本,他们可以使用这些脚本将网站与已知良好的图像进行比较,用于识别Web流量中异常URI的Splunk查询,Internet信息服务(IIS)日志分析工具,常见网络流量的签名。 Web Shell,有关如何识别意外的网络流量和异常进程调用的详细信息,常用的Web应用程序漏洞列表以及用于阻止对Web可访问目录进行更改的HIPS规则。

通常针对的Web应用程序安全漏洞会影响Microsoft SharePoint(CVE-2019-0604)和Exchange Server(CVE-2020-0688),Citrix产品(CVE-2019-19781),Atlassian Confluence(CVE-2019-3396和CVE-2019- 3398)和人群(CVE-2019-11580),WordPress“社会战争”插件(CVE-2019-9978),Progress Telerik UI(CVE-2019-18935,CVE-2017-11317和CVE-2017-11357),Zoho NSA和ASD说明包括ManageEngine(CVE-2020-10189和CVE-2019-8394)和Adobe ColdFusion(CVE-2018-15961)。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇通过零日漏洞将恶意软件传递到Sop.. 下一篇如何为游戏企业选择高防服务器租..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800