01-06-2020, 05:15 AM
1. Tín hiệu
những máy chủ web bị thoả hiệp với những web shell độc hại đã được cài đặt.
2. Tổng quan
Cảnh báo này biểu đạt việc tiêu dùng thường xuyên những web shell như là một hướng khai thác. Những webshell có thể tiêu dùng để đạt được quyền truy cập trái phép và sở hữu thể dẫn đến màng lưới rộng hơn bị thoả hiệp. Thông tin này nhằm chỉ ra mối nạt dọa và cung ứng những chiến lược ngừa, phát hiện và hạn chế tối đa thiệt hại.
Việc dùng web shell liên tiếp do Advanced Persistent Threat (APT) và các hàng ngũ tù nhân đã dẫn đến các sự cố đáng kể trên mạng.
Sản phẩm này được lớn mạnh bởi các bên US-CERT tại Vương quốc Anh, Úc, Canada và New Zealand, do dó sản phẩm vững mạnh dựa trên các hoạt động chỉ tiêu của chính các quốc gia này. Các giải pháp phát hiện và giảm nhẹ được nêu trong tài liệu này sẽ biểu hiện sự Tìm hiểu của phần lớn các đối tác tham dự.
3. Diễn tả (Description)
biểu đạt Web Shell
1 Web Shell là một script với thể được chuyển vận lên một web server cho phép điều khiển và quản lý từ xa. Các web servers bị nhiễm độc hại sở hữu thể là mạng Internet hoặc mạng nội bộ, nơi mà các web shells được tiêu dùng để đi sâu hơn vào các host nội bộ.
1 Web Shell mang thể được viết bằng bất kỳ tiếng nói nào mà web servers đích hỗ trợ. Những web shell phổ biến nhất được viết bằng những tiếng nói cũng phổ thông không kém, thí dụ như tiếng nói PHP và ASP. Perl, Ruby, Python, và Unix shell script...
dùng những phương tiện dò hỏi mạng, hacker sở hữu thân xác định các lỗ hổng sở hữu thể tiến công được và tiến hành cài đặt web shell. Thí dụ, những lỗ hổng này với thể còn đó trong các hệ thống quản lý nội dung (CMS) hoặc phần mềm web server.
Sau khi đã chuyển vận lên thành công, hacker với thể dùng web shell để tận dụng những khoa học khai thác khác nhằm nâng cao đặc quyền và ra lệnh trong khoảng xa. Những lệnh này can hệ trực tiếp đến những đặc quyền và chức năng sẵn có của web server, các lệnh đồng thời bao gồm khả năng thêm, xóa và thực thi các files cũng như các khả năng chạy các shell commands, những tệp thực thi, các scripts.
>>> Xem thêm: máy chủ dell r940
làm cho thế nào và tại sao chúng lại được dùng bởi đối thủ?
Web shells thường được tiêu dùng trong sự thỏa hiệp, do sự phối hợp của truy nã cập trong khoảng xa và các chức năng. Thậm chí các web shell thuần tuý vẫn có thể tạo ra một ảnh hưởng đáng nói nhưng lại thường duy trì 1 sự hiện diện tối thiểu nhất.
Web shells được sử dụng cho các mục đích dưới đây:
- Thu thập và lọc các dữ liệu nhạy cảm, các thông tin quan yếu.
- tải lên các phần mềm độc hại, VD: 1 lỗ hổng giúp gây nên sự lây lan ảnh hưởng và với khả năng scan các nạn nhân tiếp theo.
- Đóng vai trò như một điểm tựa để đáp ứng các lệnh cho những hosts trong mạng mà không cần phải truy vấn cập Internet trực tiếp.
- với chức năng như 1 cơ sở vật chất hạ tầng điều khiển và kiểm soát, với khả năng như 1 bot trong một mạng botnet hoặc trong sự tương trợ với các mạng bên ngoài. Điều này sẽ xảy ra nếu như khi đối phương sở hữu ý định duy trì sự còn đó trong khoảng thời gian dài.
mặc dù 1 web shell thường ko được sử dụng cho những cuộc tiến công DoS (DoS), nhưng nó vẫn với thể hoạt động như 1 platform để chuyên chở lên những công cụ khác, bao gồm cả DoS.
4. Chiến thuật cung cấp (Delivery Tactics)
Web shells mang thể được sản xuất qua 1 số áp dụng web hoặc các điểm yếu cấu hình bao gồm:
- Cross-Site Scripting
- SQL Injection
- các lỗ hổng trong các ứng dụng/ dịch vụ (ví dụ: WordPress hoặc những áp dụng CMS khác);
- Lỗ hổng xử lý tệp (VD: lọc chuyển vận lên hoặc các quyền được chỉ định)
- Lỗi hổng về Remote File Include (RFI) và Local File Include (LFI)
- Giao diện admin bị lộ (có thể là các khu vực sở hữu thể sắm thấy các lỗ hổng được nói ở trên).
những chiến thuật trên luôn có thể xảy ra và với khả năng kết hợp mang nhau 1 bí quyết thường xuyên. Ví dụ: giao diện admin buộc phải tùy chọn tải tệp lên hoặc bí quyết khai thác khác được đề cập ở trên nhằm mục đích cho việc sản xuất thành công.
6. Tác động (Impact)
một Shell Script được vận tải lên thành công sẽ cho phép kẻ tấn công từ xa có khả năng vượt qua các dừng bảo mật và tầm nã cập hệ thống một bí quyết trái phép.
>>> Xem thêm: dell r740
7. Biện pháp
đề phòng và Giảm nhẹ
Việc cài đặt 1 web Shell thường được thực hành ưng chuẩn những lỗ hổng của áp dụng web hoặc các điểm yếu cấu hình. Vì vậy, việc xác định được những lỗ hổng và đóng cửa những lỗ hổng này đóng vai trò hết sức quan yếu nhằm tránh các thỏa hiệp (compromise) sở hữu thể xảy ra. Hãy tham khảo những gợi ý giúp bảo mật dưới đây:
- dùng những bản cập nhật thường xuyên cho các vận dụng và những host OS nhằm chống lại các lỗ hổng phổ thông.
- thực hành chính sách ít quyền ưu tiên nhất trên web server, nhằm 2 mục đích sau:
Giảm khả năng leo thang đặc quyền của đối phương hoặc xoay vòng sang các máy chủ khác.
Kiểm soát việc tạo và thực thi các file trong các thư mục cụ thể.
- nếu như chưa có, hãy coi xét triển khai khu vực demilitarized zone (DMZ) giữa các hệ thống webfacing và mạng công ty. Tránh sự tương tác và hạn chế lưu lượng truy vấn cập giữa chúng sẽ cung ứng 1 cách để xác định được những hoạt động độc hại sở hữu thể xảy ra.
- Đảm bảo sự bảo mật của cấu hình các web severs. Rất nhiều những dịch vụ và những ports không cấp thiết cần được tắt đi hoặc chặn lại. Còn đối với các nhà cung cấp và những port cần phải có cũng nên hạn chế bất kì khi nào mang thể. Điều này mang thể bao gồm whitelist hoặc tróc nã cập bên ngoài bị cấm tới những bảng điều hành và ko tiêu dùng những thông tin đăng nhập mặc định.
- dùng proxy đảo lại hoặc nhà sản xuất thay thế, chẳng hạn như mod_security, nhằm tránh các các con phố dẫn URL có thể truy vấn cập đến các địa chỉ chính thống đã được biết trước ấy.
- Thiết lập và sao lưu ngoại tuyến, 1 phiên bản rẻ của server với can hệ và chính sách quản lý sự đổi thay thường xuyên, để giám sát các đổi thay đối mang nội dung mang một hệ thống chu toàn tệp tin.
- sử dụng sự xác nhận hợp thức input của user để hạn chế những lỗ hổng trong gói tin cục bộ và những gói tin trong khoảng xa.
- Thường xuyên thực hiện quét lỗ hổng của hệ thống và vận dụng để xác định những khu vực có nguy cơ bị xâm hại. Mặc dầu cách thức này không giúp chống lại được các cuộc tiến công zero day, nhưng nó sẽ giúp khiến cho vượt bậc các khu vực sở hữu nguy cơ và cần được để ý.
- khai triển firewall của các vận dụng web và tiến hành kiểm tra thường xuyên những chữ ký virus, áp dụng fuzzing, code review và phân tách mạng máy chủ.
Phát hiện
Do sự thuần tuý và tiện dụng sửa đổi của web shell mà chúng ta gặp hơi phổ quát khó khăn trong việc phát hiện ra web shell. VD: những sản phẩm chống vius đôi khi tạo ko phát hiện ra được web shell.
Sau đây là những dấu hiệu cho biết hệ thống của bạn đã bị nhiễm web shell. Lưu ý: những tín hiệu sau chỉ phổ biến đối mang những file chính thống. Bất kỳ tệp tin nào bị nghi ngờ độc hại cũng đều cần được coi xét trong các chỉ số khác và cần được phân mẫu để đưa ra quyết định chung cuộc rằng, sở hữu cần phải tiến hành rà soát hoặc xác nhận thêm nữa không.
- thời khắc bất thường trong việc tiêu dùng website của người mua (do những hoạt động upload và download).
- những tệp với timestamp (dấu thời gian) dị thường.
- các tệp đáng ngờ ở những vị trí với thể truy vấn cập Internet (web root).
- các tệp sở hữu sự can hệ mang những từ khoá đáng ngờ, như cmd.exe hoặc eval.
- những kết nối không mong muốn trong log.
>>> Xem thêm: giá máy chủ dell r740xd
những máy chủ web bị thoả hiệp với những web shell độc hại đã được cài đặt.
2. Tổng quan
Cảnh báo này biểu đạt việc tiêu dùng thường xuyên những web shell như là một hướng khai thác. Những webshell có thể tiêu dùng để đạt được quyền truy cập trái phép và sở hữu thể dẫn đến màng lưới rộng hơn bị thoả hiệp. Thông tin này nhằm chỉ ra mối nạt dọa và cung ứng những chiến lược ngừa, phát hiện và hạn chế tối đa thiệt hại.
Việc dùng web shell liên tiếp do Advanced Persistent Threat (APT) và các hàng ngũ tù nhân đã dẫn đến các sự cố đáng kể trên mạng.
Sản phẩm này được lớn mạnh bởi các bên US-CERT tại Vương quốc Anh, Úc, Canada và New Zealand, do dó sản phẩm vững mạnh dựa trên các hoạt động chỉ tiêu của chính các quốc gia này. Các giải pháp phát hiện và giảm nhẹ được nêu trong tài liệu này sẽ biểu hiện sự Tìm hiểu của phần lớn các đối tác tham dự.
3. Diễn tả (Description)
biểu đạt Web Shell
1 Web Shell là một script với thể được chuyển vận lên một web server cho phép điều khiển và quản lý từ xa. Các web servers bị nhiễm độc hại sở hữu thể là mạng Internet hoặc mạng nội bộ, nơi mà các web shells được tiêu dùng để đi sâu hơn vào các host nội bộ.
1 Web Shell mang thể được viết bằng bất kỳ tiếng nói nào mà web servers đích hỗ trợ. Những web shell phổ biến nhất được viết bằng những tiếng nói cũng phổ thông không kém, thí dụ như tiếng nói PHP và ASP. Perl, Ruby, Python, và Unix shell script...
dùng những phương tiện dò hỏi mạng, hacker sở hữu thân xác định các lỗ hổng sở hữu thể tiến công được và tiến hành cài đặt web shell. Thí dụ, những lỗ hổng này với thể còn đó trong các hệ thống quản lý nội dung (CMS) hoặc phần mềm web server.
Sau khi đã chuyển vận lên thành công, hacker với thể dùng web shell để tận dụng những khoa học khai thác khác nhằm nâng cao đặc quyền và ra lệnh trong khoảng xa. Những lệnh này can hệ trực tiếp đến những đặc quyền và chức năng sẵn có của web server, các lệnh đồng thời bao gồm khả năng thêm, xóa và thực thi các files cũng như các khả năng chạy các shell commands, những tệp thực thi, các scripts.
>>> Xem thêm: máy chủ dell r940
làm cho thế nào và tại sao chúng lại được dùng bởi đối thủ?
Web shells thường được tiêu dùng trong sự thỏa hiệp, do sự phối hợp của truy nã cập trong khoảng xa và các chức năng. Thậm chí các web shell thuần tuý vẫn có thể tạo ra một ảnh hưởng đáng nói nhưng lại thường duy trì 1 sự hiện diện tối thiểu nhất.
Web shells được sử dụng cho các mục đích dưới đây:
- Thu thập và lọc các dữ liệu nhạy cảm, các thông tin quan yếu.
- tải lên các phần mềm độc hại, VD: 1 lỗ hổng giúp gây nên sự lây lan ảnh hưởng và với khả năng scan các nạn nhân tiếp theo.
- Đóng vai trò như một điểm tựa để đáp ứng các lệnh cho những hosts trong mạng mà không cần phải truy vấn cập Internet trực tiếp.
- với chức năng như 1 cơ sở vật chất hạ tầng điều khiển và kiểm soát, với khả năng như 1 bot trong một mạng botnet hoặc trong sự tương trợ với các mạng bên ngoài. Điều này sẽ xảy ra nếu như khi đối phương sở hữu ý định duy trì sự còn đó trong khoảng thời gian dài.
mặc dù 1 web shell thường ko được sử dụng cho những cuộc tiến công DoS (DoS), nhưng nó vẫn với thể hoạt động như 1 platform để chuyên chở lên những công cụ khác, bao gồm cả DoS.
4. Chiến thuật cung cấp (Delivery Tactics)
Web shells mang thể được sản xuất qua 1 số áp dụng web hoặc các điểm yếu cấu hình bao gồm:
- Cross-Site Scripting
- SQL Injection
- các lỗ hổng trong các ứng dụng/ dịch vụ (ví dụ: WordPress hoặc những áp dụng CMS khác);
- Lỗ hổng xử lý tệp (VD: lọc chuyển vận lên hoặc các quyền được chỉ định)
- Lỗi hổng về Remote File Include (RFI) và Local File Include (LFI)
- Giao diện admin bị lộ (có thể là các khu vực sở hữu thể sắm thấy các lỗ hổng được nói ở trên).
những chiến thuật trên luôn có thể xảy ra và với khả năng kết hợp mang nhau 1 bí quyết thường xuyên. Ví dụ: giao diện admin buộc phải tùy chọn tải tệp lên hoặc bí quyết khai thác khác được đề cập ở trên nhằm mục đích cho việc sản xuất thành công.
6. Tác động (Impact)
một Shell Script được vận tải lên thành công sẽ cho phép kẻ tấn công từ xa có khả năng vượt qua các dừng bảo mật và tầm nã cập hệ thống một bí quyết trái phép.
>>> Xem thêm: dell r740
7. Biện pháp
đề phòng và Giảm nhẹ
Việc cài đặt 1 web Shell thường được thực hành ưng chuẩn những lỗ hổng của áp dụng web hoặc các điểm yếu cấu hình. Vì vậy, việc xác định được những lỗ hổng và đóng cửa những lỗ hổng này đóng vai trò hết sức quan yếu nhằm tránh các thỏa hiệp (compromise) sở hữu thể xảy ra. Hãy tham khảo những gợi ý giúp bảo mật dưới đây:
- dùng những bản cập nhật thường xuyên cho các vận dụng và những host OS nhằm chống lại các lỗ hổng phổ thông.
- thực hành chính sách ít quyền ưu tiên nhất trên web server, nhằm 2 mục đích sau:
Giảm khả năng leo thang đặc quyền của đối phương hoặc xoay vòng sang các máy chủ khác.
Kiểm soát việc tạo và thực thi các file trong các thư mục cụ thể.
- nếu như chưa có, hãy coi xét triển khai khu vực demilitarized zone (DMZ) giữa các hệ thống webfacing và mạng công ty. Tránh sự tương tác và hạn chế lưu lượng truy vấn cập giữa chúng sẽ cung ứng 1 cách để xác định được những hoạt động độc hại sở hữu thể xảy ra.
- Đảm bảo sự bảo mật của cấu hình các web severs. Rất nhiều những dịch vụ và những ports không cấp thiết cần được tắt đi hoặc chặn lại. Còn đối với các nhà cung cấp và những port cần phải có cũng nên hạn chế bất kì khi nào mang thể. Điều này mang thể bao gồm whitelist hoặc tróc nã cập bên ngoài bị cấm tới những bảng điều hành và ko tiêu dùng những thông tin đăng nhập mặc định.
- dùng proxy đảo lại hoặc nhà sản xuất thay thế, chẳng hạn như mod_security, nhằm tránh các các con phố dẫn URL có thể truy vấn cập đến các địa chỉ chính thống đã được biết trước ấy.
- Thiết lập và sao lưu ngoại tuyến, 1 phiên bản rẻ của server với can hệ và chính sách quản lý sự đổi thay thường xuyên, để giám sát các đổi thay đối mang nội dung mang một hệ thống chu toàn tệp tin.
- sử dụng sự xác nhận hợp thức input của user để hạn chế những lỗ hổng trong gói tin cục bộ và những gói tin trong khoảng xa.
- Thường xuyên thực hiện quét lỗ hổng của hệ thống và vận dụng để xác định những khu vực có nguy cơ bị xâm hại. Mặc dầu cách thức này không giúp chống lại được các cuộc tiến công zero day, nhưng nó sẽ giúp khiến cho vượt bậc các khu vực sở hữu nguy cơ và cần được để ý.
- khai triển firewall của các vận dụng web và tiến hành kiểm tra thường xuyên những chữ ký virus, áp dụng fuzzing, code review và phân tách mạng máy chủ.
Phát hiện
Do sự thuần tuý và tiện dụng sửa đổi của web shell mà chúng ta gặp hơi phổ quát khó khăn trong việc phát hiện ra web shell. VD: những sản phẩm chống vius đôi khi tạo ko phát hiện ra được web shell.
Sau đây là những dấu hiệu cho biết hệ thống của bạn đã bị nhiễm web shell. Lưu ý: những tín hiệu sau chỉ phổ biến đối mang những file chính thống. Bất kỳ tệp tin nào bị nghi ngờ độc hại cũng đều cần được coi xét trong các chỉ số khác và cần được phân mẫu để đưa ra quyết định chung cuộc rằng, sở hữu cần phải tiến hành rà soát hoặc xác nhận thêm nữa không.
- thời khắc bất thường trong việc tiêu dùng website của người mua (do những hoạt động upload và download).
- những tệp với timestamp (dấu thời gian) dị thường.
- các tệp đáng ngờ ở những vị trí với thể truy vấn cập Internet (web root).
- các tệp sở hữu sự can hệ mang những từ khoá đáng ngờ, như cmd.exe hoặc eval.
- những kết nối không mong muốn trong log.
>>> Xem thêm: giá máy chủ dell r740xd