微軟揭示W(wǎng)eb Shell攻擊的巨大增長(zhǎng)

去年，安裝在Web服務(wù)器上的惡意Web Shell的數(shù)量顯著增加，并且在2021年8月至2021年1月之間，Microsoft每個(gè)月平均記錄了14萬(wàn)次此類威脅。網(wǎng)絡(luò)外殼在網(wǎng)絡(luò)分子中越來越流行的主要原因之一是它們的簡(jiǎn)單性和有效性。對(duì)于那些不熟悉的人，Web Shell通常是一小段用Web開發(fā)編程語(yǔ)言(例如ASP，PHP和JSP)編寫的惡意代碼。

然后，攻擊者將這些Web Shell植入服務(wù)器，以提供對(duì)服務(wù)器功能的遠(yuǎn)程訪問和代碼執(zhí)行。攻擊者可以使用Web Shell在受感染的服務(wù)器上運(yùn)行命令以竊取數(shù)據(jù)，或?qū)⑵溆米鞅I竊，橫向移動(dòng)，部署其他有效載荷或進(jìn)行鍵盤活動(dòng)的啟動(dòng)板，同時(shí)將其保留在目標(biāo)組織的網(wǎng)絡(luò)中。

根據(jù)最新的Microsoft 365 Defender數(shù)據(jù)，到2020年，Web Shell的月平均訪問量幾乎翻了一番，而該軟件巨頭在2019年觀察到的月平均訪問量為77,000個(gè)。

在用于創(chuàng)建Web Shell的每種編程語(yǔ)言中，有幾種執(zhí)行任意命令的方法以及多種用于任意攻擊者輸入的方法。攻擊者還可以隱藏用戶代理字符串中的指令或在Web服務(wù)器/客戶端交換期間傳遞的任何參數(shù)。

使得檢測(cè)Web外殼特別困難的原因是，直到使用完外殼之后，它們內(nèi)容的上下文才不清楚。檢測(cè)Web Shell時(shí)的另一個(gè)挑戰(zhàn)是發(fā)現(xiàn)創(chuàng)建Web Shell的攻擊者的意圖，即使看起來無(wú)害的腳本也可能因意圖而惡意。

攻擊者還將任意輸入文件上傳到服務(wù)器的Web目錄中，然后從那里上傳功能齊全的Web Shell，該Web Shell允許執(zhí)行任意代碼。這些文件上傳Web Shell簡(jiǎn)單，輕便，并且由于無(wú)法單獨(dú)執(zhí)行命令而經(jīng)常被忽略。取而代之的是，它們用于將文件(例如功能齊全的Web Shell)上載到組織的Web服務(wù)器上。

還已知某些攻擊者以不可執(zhí)行的文件格式(例如媒體文件)隱藏其Web Shell。這些媒體文件在計(jì)算機(jī)上打開時(shí)是無(wú)害的，但是當(dāng)Web瀏覽器向服務(wù)器詢問此文件時(shí)，然后在服務(wù)器端執(zhí)行惡意代碼。

為避免成為Web Shell攻擊的受害者，Microsoft建議組織修補(bǔ)面向公眾的系統(tǒng)，將防病毒保護(hù)擴(kuò)展到Web服務(wù)器，并經(jīng)常審核和查看Web服務(wù)器中的日志。