攻击者利用WebShell发动网络攻击已是惯用的手法,随着攻击手法的交替更迭,可以逃避安全检测的攻击技术方法让不法分子在发动攻击时更加得心应手。作为Web安全、数据安全、电子邮件安全、移动安全及数据泄露防护(DLP)解决方案提供商,Websense一直致力于为企业提供全面的安全防护。Websense的安全专家对于此类利用WebShell发动的网络攻击有着深刻理解,并具有丰富的防范经验。得益于Websense ThreatSeeker智能云的帮助,Websense安全专家已经成功检测到多起攻击事件,这些网络攻击的目标涵盖了全球85,000,000多个网站,而且在这些攻击中,攻击者使用了不同的攻击技术。
Websense安全专家指出,许多大规模的入侵活动都可以自动完成:查找系统漏洞,发现漏洞之后,自动安装漏洞利用工具。接管程序通常也会将远程管理工具下载到被入侵网站。在攻击者成功入侵网站之后,他们所部署的常见工具就是WebShell。下面是Websense安全专家检测到的一起攻击事件。在此次攻击中,攻击者首先找到托管Web应用漏洞,然后上传一个以服务器支持的语言编写而成的恶意应用程序后门。这样,攻击者就可以实现对整个Web服务器的控制。
攻击者向服务器中添加恶意后门工具,以实现对整个服务器的控制
WebShell是可以在系统上运行并且可以远程管理电脑的脚本或代码(以PHP、Perl、Python等脚本语言编写而成)。尽管很多时候WebShell可以用作远程管理工具,但是它们也很有可能会被恶意软件编写者利用,作为入侵网站的工具。一旦攻击者可以在Web服务器上执行此脚本,他就获得了对托管操作系统外壳程序的访问权限,与Web服务器拥有相同的特权。为了躲避防火墙或杀毒软件的检测,攻击者通常会采用代码混淆与加密等规避技术。企业需要完整的内容检测方法来检测并拦截WebShell的传播,并且可以采用各种常见混淆技术或解密脚本来揭露其真正意图。
以下是Websense安全专家检测到的另一起网络攻击。在此次攻击中,攻击者利用了一个名为"oRb"的自定义WebShell。该WebShell本身可以通过混淆技术来躲避检测,并且使用了带有"e"修饰符的preg_replace函数。此外,通过在标题中声明文件类型是图形文件,服务于此WebShell的URL也在试图误导系统安全工具。
一旦WebShell脚本在网络中运行,就会为服务器的远程操作提供相应的Web接口:服务器信息、文件管理器(访问文件系统)、访问执行命令、SQL管理器、PHP代码执行、搜索文件与文件中的文本、上传恶意内容、注入大量代码等,为企业网络带来了极大的安全威胁。
Websense安全专家表示,Websense作为Web安全行业的领军企业,始终致力于保护用户免受各种网络攻击的侵害。具有实时扫描功能的Websense ACE?(高级分类引擎)可以检测各种混淆方法与技术,阻止用户对恶意WebShell或网页的访问,并监控出站内容,防止敏感数据离开企业网络,为企业网络提供实时的安全防护。同时,Websense ThreatSeeker网络作为具有网络识别功能的最大规模智能网络,每天可以处理近50亿的Web请求,为企业提供实时的安全分析更新。