● 什麼是Web Shell?
Web Shell 是攻擊者常用的「隱形後門」。只要將一段看似普通的 PHP、ASPX 或 JSP 腳本,就能把 HTTP/HTTPS 請求變成遠端命令列,等於在你的伺服器裡開了個基於HTTP/HTTPS的SSH。因為流量跟正常 Web 流量混在一起,傳統防禦常常沒感覺就被滲透,於是 Web Shell 成了滲透測試和駭客都愛用的利器。
1、植入Web Shell:駭客透過網頁的檔案上傳漏洞、遠端程式碼執行或被盜用的 FTP/SCP 帳密,把 Web Shell 寫進網站目錄。
2、偵查:先跑 whoami、ipconfig/id 等指令摸清環境與權限。
3、憑證蒐集:在 Windows 可能 dump LSASS,在 Linux 抓 /etc/shadow,或者收集 應用程式設定檔中的硬編碼密碼。
4、橫向移動:利用取得的帳密或漏洞,向內網其他主機擴散(PSExec、RDP、SSH)。
5、資料外洩:打包資料或裝更多工具,透過 curl、scp 等方式傳到境外伺服器或雲端儲存。
● 如何確認是否被植入Web Shell?
● 檢查檔案:Web 根目錄突然多了陌生的檔案,或現有檔案雜湊值改變(原有腳本被植入Web Shell)。
● 網路行為:Web 服務帳號往外連非常用 Port 或連到 TOR或未知 ASN。
● Web Log:POST 參數含 base64、大量 URL 編碼 PowerShell等,都可能是駭客已植入Web Shell 並遠端操控的跡象。
● 實際案例分享
★ 駭客使用不同的方式、企圖進行惡意webshell的隱藏與擴散
在客戶的網路中進行複式佈署webshell,佈署在不同端點以增加駭客入侵成功率、降低惡意webshell被安全人員的拔除率。
不停地變換惡意webshell佈署位置,提高惡意入侵的成功率,企圖混淆安全人員的戒心,以為找到一個位置的webshell,就可高枕無憂。
利用已經入侵主機的後門帳號橫向移動至其他被入侵的主機Web Shell,駭客擴大感染範圍,將更多後門佈署到其他主機。
NEITHNET擁有眾多產品,其中包含NEITHViewer (NDR) 及 NEITHSeeker (MDR),兩者互相搭配可以最大化解決企業的資安問題。NEITHViewer 可針對攻擊者進行的初期 C2 通訊測試、漏洞偵測活動進行監控與警示,在駭客早期漏洞測試時,就將駭客封鎖並拒之門外。
縱使不幸被植入Web Shell,NEITHSeeker也能透過端點的行為分析,監控到httpd或w3wp帶起來的cmd指令,實時記錄下駭客的一舉一動,必要時還可將駭客植入的惡意檔案隔離起來,防止駭客持續的利用。
除此之外,NEITHNET專業團隊也將在事發後一步步指導客戶接下來的反制措施,避免了被打後卻不知何處開始處理的窘境,提供了事前到事後的一條龍服務!
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
