Web Shell攻擊鏈正透過隱形後門潛入企業,橫向移動並竊取資料!本文分享實際案例分享、什麼是Web Shell,並揭露NEITHNET如何防範Web Shell,助您落實端點與網路全方位監控防禦。


一、什麼是Web Shell?

Web Shell 是攻擊者常用的「隱形後門」。只要一段看似普通的 PHP、ASPX 或 JSP 腳本,就能把 HTTP/HTTPS 請求變成遠端命令列,等於在你的伺服器裡開了個基於HTTP/HTTPSSSH。因為流量跟正常 Web 流量混在一起,傳統防禦常常沒感覺就被滲透,於是 Web Shell 成了滲透測試和駭客都愛用的利器。


二、Web Shell攻擊鏈?

  

web shell


1、植入Web Shell

駭客透過網頁的檔案上傳漏洞、遠端程式碼執行或被盜用的 FTP/SCP 帳密,把 Web Shell 寫進網站目錄。

2、偵查

先跑 whoami、ipconfig/id 等指令摸清環境與權限。

3、憑證蒐集

在 Windows 可能 dump LSASS,在 Linux 抓 /etc/shadow,或者收集 應用程式設定檔中的硬編碼密碼。

4、橫向移動

利用取得的帳密或漏洞,向內網其他主機擴散(PSExec、RDP、SSH)。

5、資料外洩

打包資料或裝更多工具,透過 curl、scp 等方式傳到境外伺服器或雲端儲存。


三、如何確認是否被植入Web Shell?

1、檢查檔案

Web 根目錄突然多了陌生的檔案,或現有檔案雜湊值改變(原有腳本被植入Web Shell)。

2、網路行為

Web 服務帳號往外連非常用 Port 或連到 TOR或未知 ASN。

3、Web Log

POST 參數含 base64、大量 URL 編碼 PowerShell等,都可能是駭客已植入Web Shell 並遠端操控的跡象。


四、實際案例分享

(一)、駭客使用不同的方式、企圖進行惡意webshell的隱藏與擴散

在客戶的網路中進行複式佈署webshell,佈署在不同端點以增加駭客入侵成功率、降低惡意webshell被安全人員的拔除率。


web shell


不停地變換惡意webshell佈署位置,提高惡意入侵的成功率,企圖混淆安全人員的戒心,以為找到一個位置的webshell,就可高枕無憂。


web shell


利用已經入侵主機的後門帳號橫向移動至其他被入侵的主機Web Shell,駭客擴大感染範圍,將更多後門佈署到其他主機。


web shell


(二)、駭客使用Web Shell 進行各種惡意行為

這一連串的行為代表攻擊者已透過WebShell控制伺服器(父程序是java.exe),進行憑證蒐集(lsass dump)、建立後門帳號、內部滲透與資料竊取,且全數透過合法的系統工具進行,需仰賴 MDR 偵測其異常程序關聯與命令列行為。


web shell


五、NEITHNET如何防範Web Shell?

NEITHNET擁有眾多產品,其中包含NEITHViewer (NDR) 及 NEITHSeeker (MDR),兩者互相搭配可以最大化解決企業的資安問題。NEITHViewer 可針對攻擊者進行的初期 C2 通訊測試、漏洞偵測活動進行監控與警示,在駭客早期漏洞測試時,就將駭客封鎖並拒之門外。


縱使不幸被植入Web Shell,NEITHSeeker也能透過端點的行為分析,監控到httpd或w3wp帶起來的cmd指令,實時記錄下駭客的一舉一動,必要時還可將駭客植入的惡意檔案隔離起來,防止駭客持續的利用。


除此之外,NEITHNET專業團隊也將在事發後一步步指導客戶接下來的反制措施,避免了被打後卻不知何處開始處理的窘境,提供了事前到事後的一條龍服務!


有任何資安問題,歡迎隨時與NEITHNET團隊聯繫!