信息化觀察網(wǎng)

美國國家安全局（NSA）和澳大利亞信號(hào)局（ASD）本周發(fā)布了一份安全公告，警告企業(yè)盡快從Web服務(wù)器和內(nèi)部服務(wù)器中檢測(cè)常見的WebShell惡意軟件。

兩家機(jī)構(gòu)現(xiàn)已發(fā)布了一份長(zhǎng)達(dá)17頁的聯(lián)合報(bào)告(https://media.defense.gov/2020/Apr/22/2002285959/-1/-1/0/DETECT%20AND%20PREVENT%20WEB%20SHELL%20MALWARE.PDF )，其中包含一些工具，可幫助系統(tǒng)管理員檢測(cè)和處理這些WebShell威脅，包括：

最流行的惡意軟件之一

WebShell是當(dāng)今最流行的惡意軟件形式之一。術(shù)語“WebShell”是指在被黑客入侵的服務(wù)器上安裝的惡意程序或腳本。

WebShell提供了一個(gè)可視界面，黑客可以使用該界面與被入侵的服務(wù)器及其文件系統(tǒng)進(jìn)行交互。大多數(shù)WebShell都具有允許黑客重命名、復(fù)制、移動(dòng)、編輯或上載服務(wù)器上新文件的功能。它們還可用于更改文件和目錄權(quán)限，或從服務(wù)器存檔和下載（竊?。?shù)據(jù)。

黑客通過利用面向Internet的服務(wù)器或Web應(yīng)用程序（例如CMS、CMS插件、CMS主題、CRM、Intranet或其他企業(yè)應(yīng)用程序等）中的漏洞來安裝WebShell。

WebShell可以用從Go到PHP的任何編程語言編寫。這使黑客能夠以通用名稱（例如index.asp或uploader.php）將網(wǎng)絡(luò)外殼隱藏在任何網(wǎng)站的代碼中，這使得在沒有Web防火墻或Web惡意軟件掃描器的幫助下，幾乎不可能進(jìn)行操作員的檢測(cè)。

微軟在今年2月發(fā)布的一份報(bào)告中表示，它每天檢測(cè)到大約77,000個(gè)活動(dòng)的WebShell，意味著WebShell已經(jīng)成為當(dāng)今最流行的惡意軟件類型之一。

WEBSHELL可以充當(dāng)內(nèi)部網(wǎng)絡(luò)的后門

但是，許多公司對(duì)WebShell的危險(xiǎn)性認(rèn)識(shí)不足。

在本周發(fā)布的安全公告中，NSA和ASD兩家機(jī)構(gòu)表示：

WebShell可以充當(dāng)持久的后門或中繼節(jié)點(diǎn)，將攻擊者的命令路由到其他系統(tǒng)。攻擊者經(jīng)常將多個(gè)受損系統(tǒng)上的WebShell鏈接在一起，以跨網(wǎng)絡(luò)路由流量，例如從面向Internet的系統(tǒng)到內(nèi)部網(wǎng)絡(luò)。

該通報(bào)中提到的一些工具也可以在NSA的GitHub資料中找到（https://github.com/nsacyber/Mitigating-Web-Shells）。

盡管聯(lián)合公告中包含的所有建議和免費(fèi)工具都很不錯(cuò)，但還是建議系統(tǒng)管理員先對(duì)系統(tǒng)進(jìn)行修補(bǔ)，然后再搜索已受損的主機(jī)。NSA和ASD給出的常用服務(wù)器軟件列表是開始打補(bǔ)丁優(yōu)先對(duì)象，因?yàn)樽罱鼛讉€(gè)月這些系統(tǒng)已成為攻擊目標(biāo)。

該軟件列表包括Microsoft SharePoint、Microsoft Exchange、Citrix、Atlassian Confluence、WordPress、Zoho ManageEngine和Adobe ColdFusion等流行工具中的漏洞。