美國國安局(NSA)與澳洲信號局(ASD)發表《網路安全資訊指南》(Cybersecurity Information Sheet),以協助各組織偵測及預防Web Shell惡意程式。

美國國安局(NSA)與負責蒐集國外情報的澳洲信號局(Australian Signals Directorate,ASD),本周聯手對外提出警告,他們發現愈來愈多的駭客利用網頁殼層(Web Shell)來滲透受害者的網路,以自遠端執行任意的系統命令,因而共同發表《網路安全資訊指南》(Cybersecurity Information Sheet),以協助各組織偵測及預防Web Shell惡意程式。

Web Shell是種基於命令列的操作介面,可以各種語言撰寫,但最熱門的Web Shell語言為眾多網路伺服器所支援的PHP,雖然Web Shell可能是良性的,但因為受到駭客青睞以作為後門工具,已日漸成為網路安全威脅的代名詞。

ASD指出,駭客鎖定那些使用網路服務的組織,將惡意的Web Shell上傳到有漏洞或被攻陷的網頁伺服器上,並根據目的來執行各種系統命令、列出系統資訊、竊取資料、安裝其它的惡意程式,或是藉由感染伺服器來深入受害者的網路;這些受到感染的網頁伺服器提供的,可能是內部的網路服務或者是公開的網路服務,例如內容管理系統。

ASD發現,去年有眾多的駭客利用Web Shell,並針對鎖定澳洲及澳洲的國際夥伴展開攻擊,威脅了國家安全、經濟與私人企業的利益。

網路安全資訊指南》則是ASD與NSA首度合作的安全文件,期望能藉此警告所有的可能受到威脅的單位。

根據該文件,駭客經常藉由在既有的網頁應用程式上新增或變更其中一個檔案,來建立Web Shell,這些Web Shell讓駭客得以常駐在受害者的網路上,並偽裝成合法的通訊流量;且不只是面對公開網路的系統可能被駭客相中,組織內部的內容管理系統或是網路裝置管理介面,也經常成為被攻擊目標。

Web Shell通常不容易被偵測到,因為駭客很容易就能變更它,也會模糊它的存在或將它加密,最有效的方法應該是同時採用多種不同的偵測技術,包括與已知的良性應用進行比對、網頁流量異常檢測、特徵檢測、留心意外流量,以及端點的檢測與回應能力等。

在預防上,ASD與NSA則建議組織應該要優先修補網頁應用程式的安全漏洞,嚴格規定網頁應用的存取權限,定期監控檔案的完整性,部署入侵防禦系統與網頁應用防火牆,隔離重要的網路,同時強化網頁伺服器與網頁應用的配置等。


Advertisement

更多 iThome相關內容