Web Shell:それが何であるか、どのように機能するか、システムを保護する方法

2020 年 5 月 9 日 マット・ミルズ ヒントとテクニック 0

Webアプリケーションは活況を呈しています。 何百万人ものユーザーが毎日娯楽、勉強、仕事にそれらを使用しています。 従来のアプリケーションはまだ有効であり、多くの人々がそれらも使用しているという事実にもかかわらず、Webバージョンを使用する傾向は続いています。 それらは軽量で効率的であり、一般的にはるかに少ないリソースを消費します。 しかし、サーバーは適切に保護されていますか? このガイドでは、大きな脅威のXNUMXつについてすべて説明します。 ウェブシェル .

Webシェルとは何ですか?

攻撃されるシステムに導入される悪意のあるスクリプトです。 ほとんどの場合、Webサーバーはターゲットの一部です。 これらのシステムにWebシェルがあれば、サイバー犯罪者はそれをリモートコントロールできます。 その結果、システムへの永続的なアクセスが可能になり、必要に応じてシステムを管理できるようになります。 つまり、Webシェルには、 バックドア 侵害されたシステムでは、ある程度の制御、さらには完全な制御が可能です。

Webシェル

また、Webシェルはより広範囲に到達します。 また、ネットワークデバイス管理インターフェイスに違反する可能性もあります。 したがって、安全なネットワーク管理で優れた実践を行うことが非常に重要です。 何よりも、毎日何百、何千ものデバイスが接続されている場合です。 テレワーキングの台頭にはセキュリティリスクが伴います。セキュリティリスクはすでに知られていますが、企業の「安全な」ネットワーク環境での作業は自宅での作業と同じではないため、特に注意が必要です。 ただし、使用するのに十分ではないかと思うかもしれません VPN 完全なセキュリティで組織のリソースに接続できるようにするサービス。これは、ネットワーク管理者が行うべきことの一部にすぎません。

Webシェルの検出

このタイプのマルウェアを検出する際の主な困難は、攻撃者が暗号化手法を適用して悪意のあるアクティビティを隠蔽できることです。 これは、スクリプトを簡単に入力できることの直接的な結果です。 私たちが知っているように、サイバー攻撃には無限の可能性があり、ネットワークの保護シールドはますます強化されなければなりません。 効果的な検出方法のいくつかは次のとおりです。

  • 異なるバージョンのWebアプリケーションを本番環境のものと比較します。 後者は、ユーザーが使用できるアプリケーションを指します。 この比較は、異常な活動のあらゆる兆候での違いを分析するのに役立ちます。
  • 監視ツールを使用して、Webアプリケーショントラフィックの異常を見つけます。
  • 署名ベースの検出を適用します。つまり、変更されたすべてのWebシェルを確認します。 これらは最小限の変更を受けていますが。
  • 異常な特性を持つネットワーク上のトラフィックフローを見つけます。

これらの悪意のあるスクリプトの検出プロセスに適用する必要があるツールと手順は何ですか? 以下に、お客様を効果的に保護するための主要な推奨事項を示します。

システムとネットワークをWebシェルから保護する方法

このタイプのマルウェアは、以下に存在する脆弱性を介して導入されます。

  • Webアプリケーション
  • サーバーのセキュリティ構成の悪い習慣

以前にコメントしたように、これらのWebシェルは被害者であるシステムとネットワークにも直接導入されます。これは主に、Webアプリケーション(ほとんど)とその脆弱なインフラストラクチャが、アクセス可能なWebディレクトリに直接変更を加える権限、またはWebコードの断片。 ただし、このタイプの許可は付与されるべきではありません。

その結果、システム自体がサイバー犯罪者が攻撃を実行するために問題なくドアを開けます。 したがって、変更権限をブロックすることをお勧めします。 今、そのような可能性がない場合は、代替手段があります。

IDS / IPSシステムおよびWebアプリケーションファイアウォール

この代替手段は、 完全性監視 アプリケーションインフラストラクチャでホストされるファイルのスキーム。 このようにして、管理者はWebディレクトリおよびコードの一部で発生する可能性のある最終的な変更に対して必要な可視性を持ちます。

一方、特別な ファイアウォール Webアプリケーション用。 これらのHTTPベースのアプリケーションを対象としています。 一連のルールを適用する HTTP会話 発生します。 追加の非常に注目すべき利点は、これらのファイアウォールに固有のこれらのルールが、特にクロスサイトスクリプティングやSQLインジェクションなど、より致命的な攻撃から保護できることです。 による OWASP 組織では、このタイプのファイアウォールはサーバー保護を目的としています。 プロキシがホスト(ユーザー)を保護するように。 実際には、 Webアプリケーションファイアウォール のタイプとしても考慮されます リバースプロキシ .

NSAリソース

この有名な米国の機関は、完全なリポジトリを githubの 。 このリポジトリには、システムをWebシェルマルウェアから保護するのに役立つ方法とツールの幅広いリストがあります。 興味深い点は、セキュリティソリューションに関して大規模な投資を行う必要がないことです。

私達は与える Microsoft PowerShellの 例として。 共有リポジトリでは、「既知の」比較スキームを使用してWebシェルを検出するためのサポートがあります。 さらに、Webサーバーのログで疑わしい要求を検出できます。

ご覧のように、Webアプリケーションサーバーだけでなく、従来のアプリケーションやデータネットワーク自体にもリンクされている主な脆弱性に注意することが重要です。 サイバー攻撃に関しては、無限の可能性があり、保護シールドはできるだけ堅牢でなければなりません。 幸い、アクセス性の高いオンラインリソースとツールは、管理者が複数の悲劇を防ぐのに役立ちます。