Веб-оболочка

Интерфейс, обеспечивающий удаленный доступ к веб-серверу

Веб -оболочка — это интерфейс, подобный оболочке , который позволяет осуществлять удаленный доступ к веб-серверу , часто в целях кибератак . ^[1] Веб-оболочка уникальна тем, что для взаимодействия с ней используется веб-браузер . ^{[2] [3]}

Веб-оболочка может быть запрограммирована на любом языке программирования , поддерживаемом на сервере. Веб-оболочки чаще всего пишутся на PHP из-за широкого использования PHP для веб-приложений . Хотя также используются Active Server Pages , ASP.NET , Python , Perl , Ruby и скрипты оболочки Unix . ^{[1] [2] [3]}

Используя инструменты сетевого мониторинга , злоумышленник может обнаружить уязвимости , которые потенциально могут позволить доставку веб-шелла. Эти уязвимости часто присутствуют в приложениях, которые работают на веб-сервере. ^[2]

Злоумышленник может использовать веб-оболочку для выдачи команд оболочки, выполнения повышения привилегий на веб-сервере и возможности загружать , удалять , скачивать и выполнять файлы на веб-сервере и с него. ^[2]

Общее использование

Веб-шеллы используются в атаках в основном потому, что они многоцелевые и их трудно обнаружить. ^[4] Они обычно используются для:

• Кража данных ^[4]
• Заражение посетителей веб-сайта ( атаки типа «водопой» ) ^[5]
• Нарушение целостности веб-сайта путем изменения файлов со злым умыслом
• Запуск распределенных атак типа «отказ в обслуживании» ( DDoS ) ^[2]
• Для передачи команд внутри сети, которая недоступна через Интернет ^[2]
• Использовать в качестве базы управления и контроля , например, в качестве бота в системе ботнетов или для нарушения безопасности дополнительных внешних сетей. ^[2]

Веб-шеллы дают хакерам возможность красть информацию, портить данные и загружать вредоносные программы , которые наносят больший ущерб системе. Проблема все больше обостряется, когда хакеры используют скомпрометированные серверы для проникновения в систему и подвергают риску дополнительные машины. Веб-шеллы также являются способом, с помощью которого злоумышленники нацеливаются на различные отрасли, включая правительственные, финансовые и оборонные, посредством кибершпионажа. Один из очень известных веб-шеллов, используемых таким образом, известен как « China Chopper ». ^[6]

Доставка веб-оболочек

Веб-оболочки устанавливаются через уязвимости в веб-приложениях или слабую конфигурацию безопасности сервера, включая следующие: ^{[2] [4]}

• SQL-инъекция ;
• Уязвимости в приложениях и службах (например, программное обеспечение веб-сервера, такое как NGINX , или приложения системы управления контентом, такие как WordPress ); ^{[7] [8]}
• Уязвимости обработки и загрузки файлов, которые можно устранить, например, ограничив типы файлов, которые можно загружать; ^[8]
• Уязвимости удаленного включения файлов (RFI) и локального включения файлов (LFI);
• Удаленное выполнение кода ;
• Открытые интерфейсы администрирования; ^[2]

Злоумышленник также может изменить ( подделать ) Content-Typeзаголовок, отправляемый злоумышленником при загрузке файла, чтобы обойти ненадлежащую проверку файла (проверку с использованием типа MIME, отправленного клиентом), что приведет к успешной загрузке оболочки злоумышленника.

Пример

Ниже приведен простой пример веб-оболочки, написанной на PHP, которая выполняет и выводит результат команды оболочки:

<?= `$_GET[x]` ?>

Предположим, что имя файла — example.php, пример вывода содержимого файла /etc/passwdпоказан ниже:

https://example.com/example.php?x=cat%20%2Fetc%2Fpasswd

Приведенный выше запрос примет значение параметра xстроки запроса , отправив следующую команду оболочки:

кот  /etc/passwd

Этого можно было бы избежать, если бы функции оболочки PHP были отключены, чтобы произвольные команды оболочки не могли быть выполнены из PHP.

Предотвращение и смягчение последствий

Веб-оболочка обычно устанавливается с использованием уязвимостей, присутствующих в программном обеспечении веб-сервера. Вот почему удаление этих уязвимостей важно для предотвращения потенциального риска компрометации веб-сервера.

Ниже приведены меры безопасности для предотвращения установки веб-оболочки: ^{[2] [3]}

• Регулярно обновляйте приложения и операционную систему хост-сервера, чтобы обеспечить защиту от известных ошибок.
• Развертывание демилитаризованной зоны (DMZ) между веб-серверами и внутренними сетями
• Безопасная конфигурация веб-сервера ^[2]
• Закрытие или блокировка портов и служб, которые не используются ^[2]
• Использование проверки данных пользовательского ввода для ограничения уязвимостей локального и удаленного включения файлов ^[2]
• Используйте службу обратного прокси-сервера , чтобы ограничить административные URL-адреса известными легитимными ^[2]
• Частое сканирование уязвимостей для обнаружения областей риска и проведение регулярных сканирований с использованием программного обеспечения веб-безопасности (это не предотвращает атаки нулевого дня ^[2] )
• Разверните брандмауэр ^[2]
• Отключить просмотр каталогов ^{[ требуется ссылка ]}
• Не использовать пароли по умолчанию ^[2]

Обнаружение

Веб-оболочки можно легко модифицировать, поэтому обнаружить веб-оболочки непросто, а антивирусное программное обеспечение часто не способно обнаружить веб-оболочки. ^{[2] [9]}

Ниже приведены общие признаки того, что на веб-сервере присутствует веб-оболочка: ^{[2] [3]}

• Аномально высокая загрузка веб-сервера (из-за интенсивной загрузки и выгрузки данных злоумышленником); ^{[2] [9]}
• Файлы с ненормальной временной меткой (например, более новые, чем дата последнего изменения); ^[9]
• Неизвестные файлы на веб-сервере;
• Файлы, имеющие сомнительные ссылки, например, cmd.exeили eval;
• Неизвестные соединения в журналах веб-сервера

Например, файл, генерирующий подозрительный трафик (например, файл PNG , запрашивающий параметры POST ). ^{[2] [10] [11] [12]} Сомнительные входы с серверов DMZ во внутренние подсети и наоборот. ^[2]

Веб-оболочки также могут содержать форму входа, которая часто замаскирована под страницу ошибки . ^{[2] [13] [14] [15]}

Используя веб-оболочки, злоумышленники могут изменять файл .htaccess (на серверах, на которых запущено программное обеспечение Apache HTTP Server ) на веб-серверах для перенаправления запросов поисковой системы на веб-страницу с вредоносным ПО или спамом . Часто веб-оболочки определяют user-agent , и контент, представленный поисковому роботу, отличается от того, который представлен браузеру пользователя. Чтобы найти веб-оболочку, обычно требуется смена user-agent поискового робота. После того, как веб-оболочка идентифицирована, ее можно легко удалить. ^[2]

Анализ журнала веб-сервера может указать точное местоположение веб-оболочки. У законных пользователей/посетителей обычно разные user-agent и referers , с другой стороны, веб-оболочка обычно посещается только злоумышленником, поэтому имеет очень мало вариантов строк user-agent. ^[2]

Смотрите также

• Бэкдор (вычисления)
• Кибервойна
• Интернет-безопасность
• Сетевая безопасность
• Китайский вертолет
• Конфиденциальность

Ссылки

1. "Как можно использовать веб-шеллы для эксплуатации инструментов безопасности и серверов?". SearchSecurity . Архивировано из оригинала 2019-03-28 . Получено 2018-12-21 .
2. Министерство внутренней безопасности США (9 августа 2017 г.). «Web Shells – Threat Awareness and Guidance». www.us-cert.gov . Архивировано из оригинала 13 января 2019 г. . Получено 20 декабря 2018 г. . В данной статье использован текст из этого источника, находящегося в общественном достоянии .
3. admin (3 августа 2017 г.). "Что такое веб-оболочка?". malware.expert . Архивировано из оригинала 13 января 2019 г. . Получено 20 декабря 2018 г. .
4. "Киберактивность российского правительства, направленная на секторы энергетики и другие критически важные инфраструктуры – US-CERT". www.us-cert.gov . 16 марта 2018 г. Архивировано из оригинала 20 декабря 2018 г. Получено 20 декабря 2018 г.
5. соорганизатор, Макис МурелатосИнженер по безопасности WordPress на FixMyWPWC Athens 2016; Поддержка, WP; Любитель, Безопасность; Кайтсерфер, Wannabe (16 октября 2017 г.). "The Definitive Guide about Backdoor Attacks - What are WebShell BackDoors". fixmywp.com . Архивировано из оригинала 13 января 2019 г. . Получено 20 декабря 2018 г.{{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
6. Ханнусс, Абдельхаким; Яхиуш, Салима (01.09.2021). «Обработка атак веб-шелла: систематическое отображение и исследование». Компьютеры и безопасность . 108 : 102366. doi : 10.1016/j.cose.2021.102366. ISSN  0167-4048.
7. "Got WordPress? PHP C99 Webshell Attacks Increasing". 14 апреля 2016 г. Архивировано из оригинала 29 декабря 2018 г. Получено 21 декабря 2018 г.
8. «В отчете Палаты представителей говорится, что взлом Equifax можно было «полностью предотвратить», если бы были приняты основные меры безопасности». 10 декабря 2018 г. Архивировано из оригинала 20 декабря 2018 г. Получено 21 декабря 2018 г.
9. "Breaking Down the China Chopper Web Shell - Часть I « Breaking Down the China Chopper Web Shell - Часть I". FireEye . Архивировано из оригинала 13 января 2019 года . Получено 20 декабря 2018 года .
10. "Системы обнаружения и предотвращения вторжений". Архивировано из оригинала 2019-01-13 . Получено 2018-12-22 .
11. LightCyber, Кейси Кросс, старший менеджер по продуктам (16 июня 2016 г.). «Пять признаков того, что злоумышленник уже в вашей сети». Network World . Архивировано из оригинала 13 января 2019 г. Получено 22 декабря 2018 г.{{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
12. «Анализ трафика для сетевой безопасности: два подхода к выходу за рамки данных о сетевых потоках». 15 сентября 2016 г. Архивировано из оригинала 2016-11-14 . Получено 2018-12-22 .
13. "Хакеры скрывают входы в Web Shell на поддельных страницах ошибок HTTP". BleepingComputer . Архивировано из оригинала 26 июля 2018 г. Получено 21 декабря 2018 г.
14. "Хакеры скрывают входы в Web Shell на поддельных страницах ошибок HTTP". ThreatRavens . 24 июля 2018 г. Архивировано из оригинала 13 января 2019 г. Получено 17 февраля 2019 г.
15. "Хакеры скрывают входы в Web Shell на поддельных страницах ошибок HTTP". cyware.com . Архивировано из оригинала 13 января 2019 г. Получено 22 декабря 2018 г.