WebShell成大規(guī)模攻擊突破口 專家提示黑客入侵步驟
攻擊者利用WebShell發(fā)動(dòng)網(wǎng)絡(luò)攻擊已是慣用的手法,隨著攻擊手法的交替更迭,可以逃避安全檢測(cè)的攻擊技術(shù)方法讓不法分子在發(fā)動(dòng)攻擊時(shí)更加得心應(yīng)手。作為Web安全、數(shù)據(jù)安全、電子郵件安全、移動(dòng)安全及數(shù)據(jù)泄露防護(hù)(DLP)解決方案提供商,Websense一直致力于為企業(yè)提供全面的安全防護(hù)。Websense的安全專家對(duì)于此類利用WebShell發(fā)動(dòng)的網(wǎng)絡(luò)攻擊有著深刻理解,并具有豐富的防范經(jīng)驗(yàn)。得益于Websense ThreatSeeker智能云的幫助,Websense安全專家已經(jīng)成功檢測(cè)到多起攻擊事件,這些網(wǎng)絡(luò)攻擊的目標(biāo)涵蓋了全球85,000,000多個(gè)網(wǎng)站,而且在這些攻擊中,攻擊者使用了不同的攻擊技術(shù)。
Websense安全專家指出,許多大規(guī)模的入侵活動(dòng)都可以自動(dòng)完成:查找系統(tǒng)漏洞,發(fā)現(xiàn)漏洞之后,自動(dòng)安裝漏洞利用工具。接管程序通常也會(huì)將遠(yuǎn)程管理工具下載到被入侵網(wǎng)站。在攻擊者成功入侵網(wǎng)站之后,他們所部署的常見工具就是WebShell。下面是Websense安全專家檢測(cè)到的一起攻擊事件。在此次攻擊中,攻擊者首先找到托管Web應(yīng)用漏洞,然后上傳一個(gè)以服務(wù)器支持的語言編寫而成的惡意應(yīng)用程序后門。這樣,攻擊者就可以實(shí)現(xiàn)對(duì)整個(gè)Web服務(wù)器的控制。
攻擊者向服務(wù)器中添加惡意后門工具,以實(shí)現(xiàn)對(duì)整個(gè)服務(wù)器的控制
WebShell是可以在系統(tǒng)上運(yùn)行并且可以遠(yuǎn)程管理電腦的腳本或代碼(以PHP、Perl、Python等腳本語言編寫而成)。盡管很多時(shí)候WebShell可以用作遠(yuǎn)程管理工具,但是它們也很有可能會(huì)被惡意軟件編寫者利用,作為入侵網(wǎng)站的工具。一旦攻擊者可以在Web服務(wù)器上執(zhí)行此腳本,他就獲得了對(duì)托管操作系統(tǒng)外殼程序的訪問權(quán)限,與Web服務(wù)器擁有相同的特權(quán)。為了躲避防火墻或殺毒軟件的檢測(cè),攻擊者通常會(huì)采用代碼混淆與加密等規(guī)避技術(shù)。企業(yè)需要完整的內(nèi)容檢測(cè)方法來檢測(cè)并攔截WebShell的傳播,并且可以采用各種常見混淆技術(shù)或解密腳本來揭露其真正意圖。
以下是Websense安全專家檢測(cè)到的另一起網(wǎng)絡(luò)攻擊。在此次攻擊中,攻擊者利用了一個(gè)名為"oRb"的自定義WebShell。該WebShell本身可以通過混淆技術(shù)來躲避檢測(cè),并且使用了帶有"e"修飾符的preg_replace函數(shù)。此外,通過在標(biāo)題中聲明文件類型是圖形文件,服務(wù)于此WebShell的URL也在試圖誤導(dǎo)系統(tǒng)安全工具。
一旦WebShell腳本在網(wǎng)絡(luò)中運(yùn)行,就會(huì)為服務(wù)器的遠(yuǎn)程操作提供相應(yīng)的Web接口:服務(wù)器信息、文件管理器(訪問文件系統(tǒng))、訪問執(zhí)行命令、SQL管理器、PHP代碼執(zhí)行、搜索文件與文件中的文本、上傳惡意內(nèi)容、注入大量代碼等,為企業(yè)網(wǎng)絡(luò)帶來了極大的安全威脅。
Websense安全專家表示,Websense作為Web安全行業(yè)的領(lǐng)軍企業(yè),始終致力于保護(hù)用戶免受各種網(wǎng)絡(luò)攻擊的侵害。具有實(shí)時(shí)掃描功能的Websense ACE?(高級(jí)分類引擎)可以檢測(cè)各種混淆方法與技術(shù),阻止用戶對(duì)惡意WebShell或網(wǎng)頁的訪問,并監(jiān)控出站內(nèi)容,防止敏感數(shù)據(jù)離開企業(yè)網(wǎng)絡(luò),為企業(yè)網(wǎng)絡(luò)提供實(shí)時(shí)的安全防護(hù)。同時(shí),Websense ThreatSeeker網(wǎng)絡(luò)作為具有網(wǎng)絡(luò)識(shí)別功能的最大規(guī)模智能網(wǎng)絡(luò),每天可以處理近50億的Web請(qǐng)求,為企業(yè)提供實(shí)時(shí)的安全分析更新。
