کامپوننت نرمافزار سرور
Server Software Componentتوضیحات
مهاجمان کامپوننتهای مخرب را در نرمافزارهای سرور نصب میکنند تا دسترسی مداوم داشته باشند. این تکنیک شامل نصب web shell، transport agent، SQL stored procedure و سایر کامپوننتهای سرور میشود. این کامپوننتها میتوانند برای اجرای دستورات، جمعآوری اطلاعات و ایجاد backdoor استفاده شوند.
زیرتکنیکها (3)
مهاجمان از رویههای ذخیره شده SQL مخرب برای پایداری در سرورهای پایگاه داده استفاده میکنند. در MSSQL، ویژگی xp_cmdshell میتواند برای اجرای دستورات سیستمعامل استفاده شود. مهاجمان میتوانند رویههای مخرب را ایجاد کنند که در رویدادهای خاص پایگاه داده اجرا میشوند.
مهاجمان web shellهای مخرب را روی سرورهای وب نصب میکنند تا دسترسی مداوم از راه دور داشته باشند. Web shellها اسکریپتهایی هستند که به مهاجمان اجازه میدهند دستورات را از طریق HTTP اجرا کنند. China Chopper، WSO و سایر web shellهای معروف توسط گروههای APT استفاده میشوند.
مهاجمان کامپوننتهای مخرب مانند ISAPI extension، filter یا IIS module را روی سرورهای IIS نصب میکنند. این کامپوننتها میتوانند ترافیک HTTP را مشاهده و تغییر دهند، دستورات اجرا کنند یا به عنوان proxy برای C2 عمل کنند.
روشهای شناسایی
نظارت بر نصب کامپوننتهای جدید سرور. بررسی فایلهای وب برای web shell. شناسایی stored procedureهای مشکوک. تحلیل ترافیک HTTP برای الگوهای web shell.
روشهای مقابله
نظارت بر یکپارچگی فایلهای سرور. محدود کردن دسترسی به نصب کامپوننت. بررسی منظم کامپوننتهای نصب شده. استفاده از WAF. پیادهسازی حداقل سطح دسترسی.