NSA披露Web Shell漏洞列表,警惕黑客部署后门
即将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探索与实践
美国国家安全局(NSA)和澳大利亚信号局(ASD)联合发布一份报告,警告黑客正利用易受攻击的Web服务器来部署Web Shell。
黑客可以利用Web Shell恶意工具来感染网络或者是暴露在网络上的服务器,并由此获取权限,远程执行任意代码,在同一网络内的设备传播其他的恶意软件有效载荷。
这些恶意软件的有效载荷可以以多种形式上传到易受攻击的服务器上,从专门设计提供Web Shell功能和Perl、Ruby、Python和Unix Shell脚本的程序,到应用程序插件以及在Web应用程序页面中注入的PHP和ASP代码段等。
Web Shell是当今最流行的恶意软件之一。术语“ Web Shell”是指在被黑客入侵的服务器上安装的恶意程序或脚本。
Web Shell提供了一个可视界面,黑客可以使用该界面与被入侵的服务器及其文件系统进行交互。大多数Web Shell都允许黑客重命名、复制、移动、编辑或上传服务器新文件。它们还可用于更改文件和目录权限,或从服务器存档和下载(窃取)数据。
Web Shell可以用从Go到PHP的任何编程语言编写。这使黑客能够以通用名称(例如index.asp或uploader.php)将Web Shell隐藏在任何网站的代码中,这使得操作人员几乎不可能在没有网络防火墙或网络恶意软件扫描程序帮助的情况下进行检测。
NSA说到:“恶意网络攻击者正利用Web Shell来获取用户网络的访问权。”
ASD补充说明:“这份指导报告将有助于网络运营人员为web服务器的安全性负责。”
Web Shell 检测、防御、缓解
两国情报政府机构联合发布的安全报告长达17页,其中为安全团队提供大量参考信息,比如检测隐藏后门,并在发现后管理和恢复影响进程,在未打补丁的服务器上部署工具来拦截恶意攻击者。
NSA有一个专用的GitHub存储库,其中包含公司用来检测和阻止Web Shell威胁并拦截Web Shell部署的工具,这些工具包括:
- “Known-good”文件对比脚本 ,可将伪装图片和流行图片进行对比
- Splunk查询,用于检测Web流量中的异常URL
- Internet信息服务(IIS)日志分析工具
- 常见Web Shell的网络流量签名
- 识别意外网络流量的说明
- 识别Sysmon数据中异常流程调用的说明
- 使用Audited识别异常流程调用的说明
- 用于阻止对可通过Web访问的目录的更改的HIPS规则
- 常用的Web应用程序漏洞列表
黑客利用Web应用程序漏洞或将其他感染系统加载来部署Web Shell 。Web Shell可以用作持久后门或中继节点,并将攻击者的命令路由转到其他系统。
攻击者经常将多个感染系统上的Web Shell链接在一起,跨网络按特定路线传输流量,例如从外部网络系统到内部网络。
用于部署Web Shell的漏洞
因此,企业应尽快修复其网络上的应用程序和内部Web应用程序,并立即采取措施,防范攻击者利用“n-day”漏洞进一步危害服务器的风险。
NSA和ASD列出了多种常见的安全漏洞,黑客可能利用这些来安装Web Shell恶意软件,比如Microsoft SharePoint、Microsoft Exchange、Citrix、Atlassian Confluence、WordPress、Zoho ManageEngine和Adobe ColdFusion等流行工具中的漏洞。
每日约有77000个Web Shell利用追踪
为检测黑客对Web Shell的利用程度,微软在2月发布一份报告,数据表明其Microsoft Defender高级威胁防护(ATP)团队“在平均46000台不同的计算机上平均检测到77000个Web Shell和相关工件。 ”这表明,Web Shell是当前最流行的恶意软件类型之一。
微软表示:“有趣的是,我们观察到攻击通常发生在周末或下班时间,而攻击可能不会立即发现并做出响应。”
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
二十周年专题|绿盟极光,用专注惊艳了时光
即将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探索与实践 在安全圈久了,一定听说过绿盟极光漏洞扫描器——一款知名度很高的产品。在近 20 年的发展中,它曾被赋予了一系列标签—— 技术强、好用、团队强大、更新快等,它的市场认可度极高,用现在的话说这是一个爆款产品,IDC 资料显示已经在国内连续 8 年市场占有率NO.1,后来,极光漏洞扫描器更名为 RSAS 绿盟远程安全评估系统,简称 RSAS。 一、缘起 2000 年的绿盟科技以技术起家,一些有技术梦想的安全研究人员开始折腾一款国内自己的扫描器产品。那时候圈里流行为自己起一个网络 ID,绿盟扫描器团队有着日后可能会被记录在安全发展史的知名 ID——deepin、watercloud、scz、jbtzhm、zhangyunhai…… 极光扫描器的起步并没有因为众多大咖的加入而变得顺利,从技术梦想到产品诞生是一个艰苦的过程,企业级应用产品对产品品质、功能和可靠性的要求极高,与平日安全研究人员们的个人工具差别很大。最早折腾扫描器的是 deepin 和 ipxodi。到 2001 年,极光扫描器还在实现产品化的路上。后来,随着 wa...
- 下一篇
织好网络安全网,以信息化助力“重振”
即将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探索与实践 习近平总书记关于网络强国的重要思想和疫情期间关于网信工作的重要论述,切实加强党对网信工作的全面领导,牢牢掌握网络意识形态工作领导权、主动权,做强网络正面宣传,筑牢网络安全防线,提高管网治网水平;要抓住新产业新业态新模式发展的窗口期,以信息化培育新动能,助力湖北“疫后重振”和经济社会高质量发展。 网络安全是基本需求,守住网络安全才能追求幸福。如今,互联网已经全面、直接、深入地进入寻常百姓家,无论是办公还是居家,出行还是餐饮,国家建设还是社会治理,互联网如同影子一般,无处不在、无时不在,网络安全需要做到万无一失,当好防线,守好底线。网络空间并非虚拟,而是与民众生活息息相关,个人信息被泄露,企业机密数据被盗取等,这些都会降低人们对美好生活期待。网络安全对国家安全尤为重要,国家安全了人民才能幸福,互联网既是一个国家的信息基础设施建设,还是国家战略资源的“助推剂”,当前国家发展对互联网的依赖程度越高,安全防范的要求也就越高,保障网络安全与守护国家安全是需要相统一的。 网络安全是必备前提,守住网络安全方可蓄势发展。突如其来的新冠...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- SpringBoot2全家桶,快速入门学习开发网站教程
- Hadoop3单机部署,实现最简伪集群
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Red5直播服务器,属于Java语言的直播服务器
- MySQL8.0.19开启GTID主从同步CentOS8