Web Shell
Web Shellتوضیحات
مهاجمان web shellهای مخرب را روی سرورهای وب نصب میکنند تا دسترسی مداوم از راه دور داشته باشند. Web shellها اسکریپتهایی هستند که به مهاجمان اجازه میدهند دستورات را از طریق HTTP اجرا کنند. China Chopper، WSO و سایر web shellهای معروف توسط گروههای APT استفاده میشوند.
روشهای شناسایی
نظارت بر فایلهای جدید در دایرکتوریهای وب. بررسی ترافیک HTTP برای الگوهای web shell. شناسایی فایلهای با محتوای مشکوک. تحلیل لاگهای وب سرور.
روشهای مقابله
نظارت بر یکپارچگی فایلهای وب. استفاده از WAF. محدود کردن مجوزهای نوشتن در دایرکتوریهای وب. بررسی منظم فایلهای وب. پیادهسازی File Integrity Monitoring.
تکنیک اصلی
کامپوننت نرمافزار سرور
مهاجمان کامپوننتهای مخرب را در نرمافزارهای سرور نصب میکنند تا دسترسی مداوم داشته باشند. این تکنیک شامل نصب web shell، transport agent، SQL stored procedure و سایر کامپوننتهای سرور میشود. این کامپوننتها میتوانند برای اجرای دستورات، جمعآوری اطلاعات و ایجاد backdoor استفاده شوند.
سایر زیرتکنیکها (2)