近期发现某服务器配置错误,攻击者可在 web 服务器上的多个文件夹中部署 webshell,导致服务帐户和域管理帐户被攻击。攻击者使用 net.exe 执行侦察,使用 nbstat.exe 扫描其他目标系统,最终使用 PsExec 横向移动。

攻击者在其他系统上安装了额外的 web shell,并在 outlookweb Access (OWA)服务器上安装了 DLL 后门。为了在服务器上持久控制,后门将自己注册为服务或 Exchange 传输代理,从而允许它访问和拦截所有传入和传出的电子邮件,并收集敏感信息。后门程序还执行其他攻击命令以及下载恶意有效载荷。此外,攻击者还发送了特殊电子邮件,DLL 后门会将其解释为命令。

shell 中的幽灵:web Shell 攻击调查

这起案件是常见的 web 攻击之一,影响到各个部门的多个组织。常用 web 开发编程语言(如 ASP、PHP、JSP)编写恶意代码,攻击者将其植入 web 服务器上,可远程访问和代码执行,通过执行命令从 Web 服务器窃取数据。

当前形势下 Web Shell 攻击

在攻击中观察到包括 ZINC, KRYPTON 和 GALLIUM 多个 shell。为了植入 webshell,攻击者利用暴露在互联网上的 web 服务器安全漏洞进行攻击,通常是 web 应用程序中的漏洞,例如 CVE-2019-0604 或 CVE-2019-16759。

在对这些类型的攻击的调查中,发现文件中的 web shell 试图使用 web 服务器中合法文件名称隐藏或混合,例如:

index.aspx

fonts.aspx

css.aspx

global.aspx

default.php

function.php

Fileuploader.php

help.js

write.jsp

31.jsp

China Chopper 是最常用的 web shell 之一,常见示例如下:

shell 中的幽灵:web Shell 攻击调查服务器中发现的 jsp 恶意代码如下:

shell 中的幽灵:web Shell 攻击调查php 语言编写的 China Chopper 变体:

shell 中的幽灵:web Shell 攻击调查

KRYPTON 在一个 ASP.NET 页面中使用了用 C#编写的 web shell:

shell 中的幽灵:web Shell 攻击调查

一旦 web shell 成功插入 web 服务器,攻击者就可以在 web 服务器上执行各种任务。Webshell 可以窃取数据,漏洞攻击,并运行其他恶意命令进一步进行破坏。

Web shell 已经影响到了很多行业,公共部门组织是最常见的目标部门之一。除了利用 web 应用程序或 web 服务器中的漏洞外,攻击者还利用服务器中的其他弱点。例如缺少最新的安全更新、防病毒工具、网络保护、安全配置等。攻击通常发生在周末或休息时间,这时攻击可能不会立即被发现和响应。这些漏洞攻击很普遍,每个月微软(ATP)平均会在 46000 台不同的机器上检测到 77000 个 webshell 相关文件。

shell 中的幽灵:web Shell 攻击调查

检测与预防

由于 webshell 是一个多方面的威胁,企业应该从多个攻击面建立全面的防御:身份验证、终端、电子邮件和数据、应用程序和基础架构等。

了解面向 internet 的服务器是检测和解决 web 威胁的关键。可以通过监视 web 应用程序目录中的文件写入来检测 web shell 的安装。Outlook Web Access (OWA)这样的应用程序在安装后很少更改,对这些应用程序目录的写入应该被视为可疑操作。

通过分析信息服务(IIS) w3wp.exe 创建的进程来检测 webshell 活动。与侦察活动相关联的进程序列,如 net.exe、ping.exe、systeminfo.exe 和 hostname.exe 进程序列。w3wp.exe 在通常不执行诸如“MSExchangeOWAAppPool”进程的应用程序池中运行的任何 cmd.exe 进程都应被视为异常并视为潜在的恶意行为。

shell 中的幽灵:web Shell 攻击调查

shell 中的幽灵:web Shell 攻击调查

shell 中的幽灵:web Shell 攻击调查

与大多数安全问题一样,预防至关重要。通过采取以下预防措施可以增强系统抵御 webshell 攻击的能力:

1、识别并修复 web 应用程序和 web 服务器中的漏洞或错误配置,并及时进行更新。

2、经常审核和检查 web 服务器的日志,注意直接暴露在 internet 上的所有系统。

3、尽可能利用 Windows Defender 防火墙、入侵防御设备和网络防火墙来阻止端点之间的命令执行和与控制服务器通信,限制横向移动和其他攻击活动。

4、检查外围防火墙和代理以限制对服务的不必要访问,包括通过非标准端口访问服务。

5、启用云保护以获得最新防御措施。

6、教育终端用户如何预防恶意软件感染,建立用户是要进行凭据限制。

*参考来源:microsoft,由 Kriston 编译,转载请注明来自 FreeBuf.COM

shell 中的幽灵:web Shell 攻击调查

精彩推荐

shell 中的幽灵:web Shell 攻击调查

shell 中的幽灵:web Shell 攻击调查

shell 中的幽灵:web Shell 攻击调查

shell 中的幽灵:web Shell 攻击调查

  **![shell 中的幽灵:web Shell 攻击调查](https://img.chainnews.com/material/images/e16db5a32641bf26ae9d8ef9520d81a6.jpg)**