微軟揭示Web Shell攻擊的巨大增長

去年，安裝在Web服務器上的惡意Web Shell的數(shù)量顯著增加，并且在2021年8月至2021年1月之間，Microsoft每個月平均記錄了14萬次此類威脅。網絡外殼在網絡分子中越來越流行的主要原因之一是它們的簡單性和有效性。對于那些不熟悉的人，Web Shell通常是一小段用Web開發(fā)編程語言(例如ASP，PHP和JSP)編寫的惡意代碼。

然后，攻擊者將這些Web Shell植入服務器，以提供對服務器功能的遠程訪問和代碼執(zhí)行。攻擊者可以使用Web Shell在受感染的服務器上運行命令以竊取數(shù)據(jù)，或將其用作盜竊，橫向移動，部署其他有效載荷或進行鍵盤活動的啟動板，同時將其保留在目標組織的網絡中。

根據(jù)最新的Microsoft 365 Defender數(shù)據(jù)，到2020年，Web Shell的月平均訪問量幾乎翻了一番，而該軟件巨頭在2019年觀察到的月平均訪問量為77,000個。

在用于創(chuàng)建Web Shell的每種編程語言中，有幾種執(zhí)行任意命令的方法以及多種用于任意攻擊者輸入的方法。攻擊者還可以隱藏用戶代理字符串中的指令或在Web服務器/客戶端交換期間傳遞的任何參數(shù)。

使得檢測Web外殼特別困難的原因是，直到使用完外殼之后，它們內容的上下文才不清楚。檢測Web Shell時的另一個挑戰(zhàn)是發(fā)現(xiàn)創(chuàng)建Web Shell的攻擊者的意圖，即使看起來無害的腳本也可能因意圖而惡意。

攻擊者還將任意輸入文件上傳到服務器的Web目錄中，然后從那里上傳功能齊全的Web Shell，該Web Shell允許執(zhí)行任意代碼。這些文件上傳Web Shell簡單，輕便，并且由于無法單獨執(zhí)行命令而經常被忽略。取而代之的是，它們用于將文件(例如功能齊全的Web Shell)上載到組織的Web服務器上。

還已知某些攻擊者以不可執(zhí)行的文件格式(例如媒體文件)隱藏其Web Shell。這些媒體文件在計算機上打開時是無害的，但是當Web瀏覽器向服務器詢問此文件時，然后在服務器端執(zhí)行惡意代碼。

為避免成為Web Shell攻擊的受害者，Microsoft建議組織修補面向公眾的系統(tǒng)，將防病毒保護擴展到Web服務器，并經常審核和查看Web服務器中的日志。