shell中web Shell攻擊調查的示例分析

這篇文章給大家分享的是有關shell中web Shell攻擊調查的示例分析的內容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

近期發現某服務器配置錯誤，攻擊者可在web服務器上的多個文件夾中部署webshell，導致服務帳戶和域管理帳戶被攻擊。攻擊者使用net.exe執行偵察，使用nbstat.exe掃描其他目標系統，最終使用PsExec橫向移動。

攻擊者在其他系統上安裝了額外的web shell，并在outlookweb Access（OWA）服務器上安裝了DLL后門。為了在服務器上持久控制，后門將自己注冊為服務或Exchange傳輸代理，從而允許它訪問和攔截所有傳入和傳出的電子郵件，并收集敏感信息。后門程序還執行其他攻擊命令以及下載惡意有效載荷。此外，攻擊者還發送了特殊電子郵件，DLL后門會將其解釋為命令。

這起案件是常見的web攻擊之一，影響到各個部門的多個組織。常用web開發編程語言（如ASP、PHP、JSP）編寫惡意代碼，攻擊者將其植入web服務器上，可遠程訪問和代碼執行，通過執行命令從Web服務器竊取數據。

當前形勢下Web Shell攻擊

在攻擊中觀察到包括 ZINC, KRYPTON和 GALLIUM多個shell。為了植入webshell，攻擊者利用暴露在互聯網上的web服務器安全漏洞進行攻擊，通常是web應用程序中的漏洞，例如CVE-2019-0604或CVE-2019-16759。

在對這些類型的攻擊的調查中，發現文件中的web shell試圖使用web服務器中合法文件名稱隱藏或混合，例如：

index.aspx

fonts.aspx

css.aspx

global.aspx

default.php

function.php

Fileuploader.php

help.js

write.jsp

31.jsp

China Chopper是最常用的web shell之一，常見示例如下：

服務器中發現的jsp惡意代碼如下：

php語言編寫的China Chopper變體：

KRYPTON在一個ASP.NET頁面中使用了用C#編寫的web shell：

一旦web shell成功插入web服務器，攻擊者就可以在web服務器上執行各種任務。Webshell可以竊取數據，漏洞攻擊，并運行其他惡意命令進一步進行破壞。

Web shell已經影響到了很多行業，公共部門組織是最常見的目標部門之一。除了利用web應用程序或web服務器中的漏洞外，攻擊者還利用服務器中的其他弱點。例如缺少最新的安全更新、防病毒工具、網絡保護、安全配置等。攻擊通常發生在周末或休息時間，這時攻擊可能不會立即被發現和響應。這些漏洞攻擊很普遍，每個月微軟（ATP）平均會在46000臺不同的機器上檢測到77000個webshell相關文件。

檢測與預防

由于webshell是一個多方面的威脅，企業應該從多個攻擊面建立全面的防御：身份驗證、終端、電子郵件和數據、應用程序和基礎架構等。

了解面向internet的服務器是檢測和解決web威脅的關鍵。可以通過監視web應用程序目錄中的文件寫入來檢測web shell的安裝。Outlook Web Access（OWA）這樣的應用程序在安裝后很少更改，對這些應用程序目錄的寫入應該被視為可疑操作。

通過分析信息服務（IIS）w3wp.exe創建的進程來檢測webshell活動。與偵察活動相關聯的進程序列，如net.exe、ping.exe、systeminfo.exe和hostname.exe進程序列。w3wp.exe在通常不執行諸如“MSExchangeOWAAppPool”進程的應用程序池中運行的任何cmd.exe進程都應被視為異常并視為潛在的惡意行為。

與大多數安全問題一樣，預防至關重要。通過采取以下預防措施可以增強系統抵御webshell攻擊的能力：

1、識別并修復web應用程序和web服務器中的漏洞或錯誤配置，并及時進行更新。

2、經常審核和檢查web服務器的日志，注意直接暴露在internet上的所有系統。

3、盡可能利用Windows Defender防火墻、入侵防御設備和網絡防火墻來阻止端點之間的命令執行和與控制服務器通信，限制橫向移動和其他攻擊活動。

4、檢查外圍防火墻和代理以限制對服務的不必要訪問，包括通過非標準端口訪問服務。

5、啟用云保護以獲得最新防御措施。

6、教育終端用戶如何預防惡意軟件感染，建立用戶是要進行憑據限制。

感謝各位的閱讀！關于“shell中web Shell攻擊調查的示例分析”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，讓大家可以學到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！