新闻中心 > 新闻详情

安芯网盾:高级威胁之WebShell攻击篇

2021 年 9 月 9 日

通常情况下,网络攻击会采用多种手段、在多个不同的阶段进行准备、执行以完成攻击行为。对于攻击者而言,当通过基于Web的漏洞找到攻击入口时,下一步往往是安装WebShell以便更轻松的进行远程访问。本文我们就针对WebShell攻击进行简析,探讨一下针对此类攻击如何有效防御,以规避安全风险问题。

WebShell是一种恶意后门,它能够通过被利用的Web应用程序漏洞或“上传到其他受感染的系统”来启动。它为攻击者提供了一种使用受感染Web服务器发起进一步攻击的便捷方式,可以为Web应用程序和相关系统提供一个永久的后门。攻击者可以使用WebShell建立攻击机与目标机之间的通道,并且利用其他漏洞来提升权限并远程发出命令。这些命令具有添加、删除和执行文件以及运行shell命令、可执行文件或脚本的能力。

攻击者在web服务器成功安装WebShell之后,其提供以下功能:

  • 允许攻击者执行命令并同时Web服务器窃取数据

  • 拿下沦陷的服务器后可以针对域内的更多主机发起进一步的攻击

  • 向没有直接访问Internet的网络内的主机发出命令

  • 上传其他恶意程序,例如Chopper,用于水坑攻击和扫描其他受害者

webshell感染链

图 webshell感染链

众所周知,WebShell不需要额外的程序即可在受害者的系统上运行,因为通信仅通过浏览器上的HTTP进行。WebShell的上传通常通过文档/文件上传页面完成,然后使用本地文件漏洞将WebShell包含在应用程序的页面之一中。安装WebShell的其他形式包括跨站点脚本 (XSS) 和被发掘出的公网管理平台。

一般,对WebShell的检测一般有三种方式:

第一种检测方法涉及通过文件名、文件散列或文件内容对端点进行检测。不幸的是,这通常是CPU密集型的操作,这意味着业务操作团队可能不允许您在生产系统上这样做。

第二种方法是被动而有效的,但设置和管理起来很痛苦。它涉及将web流量镜像到具有内置检测或支持自定义Snort或Suricata规则的网络流量监控设备。您还需要将您的web服务器SSL私钥上传到网络设备以进行SSL解密,否则您将无法检查加密的web流量。

第三种方法是安芯网盾提供的基于硬件虚拟化技术的内存安全产品。智能内存防护系统下沉至硬件底层,可实现对内存的监控从而能够发现各类威胁,从而能够对主机中核心部分进行安全防护。

WebShell是一种常见的网络后门攻击,具有隐蔽性高、危害大检测出来WebShell就需要解决它,不少企事业单位采用了入侵防御系统或者Web应用防火墙(WAF),以防止攻击的产生。

Web应用程序防火墙 (WAF) 通常基于签名进行检测防御,但是攻击者会利用逃避检测的方法利用WebShell进行攻击。而内存保护技术可以提供一种全新的检测方法,基于硬件虚拟化技术,在内存级别监控应用程序进程,不依赖过去的恶意事件、恶意病毒的模式匹配;同时还提供上下文细粒度行为分析,深入应用程序进程内部,针对WebShell攻击等进行有效防护。

入侵防御系统是基于已知攻击为Web应用程序添加一层防御,但是这种方法只是纵深防御策略的一部分。而内存保护技术可以对内存中关键业务进行打点,并通过对业务的关联分析,监控应用对业务相关内存数据的多读、挂钩、篡改等行为,确保用户核心业务应用程序只按照预期方式运行,不会因为病毒窃取、漏洞触发而遭受攻击,切实有效保护核心数据资产不被窃取。

由于WebShell一旦被安装就很难被发现,所以做好安全预防至为重要。只有如此,才能守护住主机侧的数据资产,确保业务正常运行。

隐私政策     法律信息     Copyright©️2019-2023 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24