Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Часть серии по
Информационная безопасность
Связанные категории безопасности
Угрозы
Защиты
  • Обнаружение аномалий
  • Контроль доступа к компьютеру
  • Безопасность приложений
    • Антивирусное программное обеспечение
    • Программное обеспечение компьютерной безопасности
    • Безопасное кодирование
    • Безопасность по умолчанию
    • Безопасность благодаря дизайну
      • Случай неправильного использования
    • Операционная система, ориентированная на безопасность
  • Аутентификация
    • Многофакторная аутентификация
  • Авторизация
  • Безопасность, ориентированная на данные
  • Обфускация кода
  • Шифрование
  • Брандмауэр
  • Система обнаружения вторжений
    • Система обнаружения вторжений на основе хоста (HIDS)
  • Информация о безопасности и управление событиями
  • Мобильный безопасный шлюз
  • Самозащита рабочего приложения
  • Безопасность веб-приложений
  • v
  • т
  • е

Веб - оболочка представляет собой вредоносный веб- оболочка -как интерфейс , который обеспечивает удаленный доступ и управление к веб - серверу, позволяя выполнение произвольных команд. [1] Веб-оболочка может быть загружена на веб-сервер, чтобы разрешить удаленный доступ к веб-серверу , например к файловой системе веб-сервера . [2] Веб-оболочка уникальна тем, что позволяет пользователям получать доступ к веб-серверу через веб-браузер, который действует как интерфейс командной строки . [3] [4]

Пользователь может получить доступ к удаленному компьютеру через World Wide Web с помощью веб-браузера в системе любого типа, будь то настольный компьютер или мобильный телефон с веб-браузером, и выполнять задачи в удаленной системе. Среда командной строки не требуется ни на хосте, ни на клиенте. [3] [4] Веб-оболочку часто считают трояном удаленного доступа . [5]

Веб-оболочку можно запрограммировать на любом языке , поддерживаемом целевым сервером. Веб-оболочки чаще всего пишутся на PHP из-за широкого использования PHP, однако также используются сценарии оболочки Active Server Pages , ASP.NET , Python , Perl , Ruby и Unix , хотя и не так часто, потому что это не очень распространено. для веб-серверов для поддержки этих языков. [2] [3] [4]

Используя инструменты сетевого мониторинга, такие как Wireshark , злоумышленник может найти уязвимости, которые эксплуатируются, что приводит к установке веб-оболочки. Эти уязвимости могут присутствовать в приложениях системы управления контентом или в программном обеспечении веб-сервера . [3]

Злоумышленник может использовать веб-оболочку для выполнения команд, повышения привилегий на веб-сервере и возможности загружать , удалять , загружать и выполнять файлы на веб-сервере. [3]

Общее использование [ править ]

Веб-оболочки используются в атаках в основном потому, что они многоцелевые и их трудно обнаружить. [6]

Веб-оболочки обычно используются для:

  • Кража данных [6]
  • Заражение посетителей веб-сайтов ( атаки watering hole ) [7]
  • Ущерб веб-сайта путем модификации файлов со злым умыслом
  • Запуск распределенных атак типа «отказ в обслуживании» ( DDoS ) [3]
  • Для передачи команд внутри сети, недоступной через Интернет [3]
  • Для использования в качестве базы управления и контроля , например, в качестве бота в системе ботнета или для нарушения безопасности дополнительных внешних сетей. [3]

Доставка веб-оболочек [ править ]

Веб-оболочки устанавливаются через уязвимости в веб-приложении или слабую конфигурацию безопасности сервера, включая следующие: [3] [6]

  • SQL-инъекция ;
  • Уязвимости в приложениях и сервисах (например, программное обеспечение веб-сервера, такое как NGINX, или приложения системы управления контентом, такие как WordPress ); [8] [9]
  • Уязвимости при обработке и загрузке файлов, которые можно уменьшить, например, ограничив типы файлов, которые могут быть загружены; [9]
  • Уязвимости удаленного включения файлов (RFI) и включения локальных файлов (LFI);
  • Удаленное выполнение кода ;
  • Открытые интерфейсы администрирования; [3]

Злоумышленник также может изменить ( подделать ) Content-Typeзаголовок, который будет отправлен злоумышленником при загрузке файла, чтобы обойти неправильную проверку файла (проверка с использованием типа MIME, отправленного клиентом), что приведет к успешной загрузке оболочки атакующего.

Примеры известных веб-оболочек [ править ]

Оболочка b374k, работающая на сервере Windows 7 Ultimate Edition.
Пример того, как может выглядеть поддельная страница с ошибкой в ​​веб-оболочке WSO.
  • b374k - веб-оболочка, написанная на PHP с такими возможностями, как мониторинг процессов и выполнение команд. Последняя версия оболочки b374k - 3.2.3. [3] [10] [11] [12]
  • C99 - веб-оболочка, способная отображать стандарты безопасности веб-сервера и имеющая опцию самоуничтожения. [3] [13] Исходная версия C99Shell не работает с PHP 7 из-за использования удаленных функций.
  • China Chopper - веб-оболочкаразмеромвсего 4 килобайта , которая была впервые обнаружена в 2012 году. Эта веб-оболочка обычно используется злоумышленниками в Китае, включая группы постоянных угроз повышенной сложности (APT), для удаленного доступа к веб-серверам . Эта веб-оболочка состоит из двух частей: клиентского интерфейса ( исполняемого файла ) и файла хоста-получателя на скомпрометированном веб-сервере. Имеет множество команд и функций управления, таких как возможность взлома пароля. [14] [15] [16]
  • R57 - Веб-оболочка R57 имеет инструменты для сканирования зараженного веб-сервера на предмет других установок веб-оболочки с возможностью их удаления или перезаписи. [17]
  • WSO (веб-оболочка от oRb) - имеет возможность защиты паролем с помощью формы входа, некоторые варианты могут маскироваться под поддельную страницу ошибки HTTP . [3] [18] [19]

Веб-оболочки могут быть всего лишь одной строкой кода. Следующий пример PHP- скрипта имеет размер 15 байт :

<? = `$ _GET [x]` ?>

Если злоумышленник вставляет эту строку кода во вредоносный файл с расширением имени файла PHP (например, .php) на веб-сервере, на котором запущен PHP , злоумышленник может выдавать команды, например, читать /etc/passwdфайл, через веб-браузер, используя следующую униформу Указатель ресурсов, если веб-оболочка располагалась по адресу uploads/webshell.php:

http://example.com/uploads/webshell.php?x=cat%20%2Fetc%2Fpasswd

Вышеупомянутый запрос примет значение xпараметра URL, декодирует URL и отправит следующую команду оболочки :

кот / etc / passwd

Если разрешения /etc/passwdфайла позволяют просматривать файл, веб-сервер отправит содержимое /etc/passwdв веб-браузер, а затем браузер отобразит содержимое /etc/passwdфайла или любого другого файла, который злоумышленник желает просмотреть.

Эту атаку можно было предотвратить, если бы права доступа к файлу не позволяли просматривать файл или если бы функции оболочки PHP были отключены, чтобы произвольные команды оболочки не могли выполняться из PHP.

С помощью этой веб-оболочки злоумышленники могут выполнять другие вредоносные действия, такие как замена содержимого файла на веб-сервере . Например, рассмотрим следующую команду:

эхо x> index.php

Вышеупомянутая команда может использоваться для замены содержимого index.phpфайла на текст «x», что является одним из способов искажения веб-страницы , или для создания index.phpфайла с содержимым, если файл не существует. Злоумышленники также могут использовать Bash команды rmдля удаления файлов на веб - сервере и mvперемещать файлы.

Предотвращение и смягчение последствий [ править ]

Веб-оболочка обычно устанавливается с использованием уязвимостей, имеющихся в программном обеспечении веб-сервера. Вот почему удаление этих уязвимостей важно, чтобы избежать потенциального риска взлома веб-сервера.

Ниже приведены меры безопасности для предотвращения установки веб-оболочки: [3] [4]

  • Регулярно обновляйте приложения и операционную систему хост-сервера, чтобы гарантировать защиту от известных ошибок.
  • Развертывание демилитаризованной зоны (DMZ) между веб-серверами и внутренними сетями
  • Безопасная настройка веб-сервера [3]
  • Закрытие или блокировка неиспользуемых портов и служб [3]
  • Использование проверки вводимых пользователем данных для ограничения уязвимостей локального и удаленного включения файлов [3]
  • Используйте службу обратного прокси, чтобы ограничить административные URL-адреса известными легитимными [3]
  • Частое сканирование уязвимостей для выявления областей риска и регулярное сканирование с использованием программного обеспечения веб-безопасности (это не предотвращает атаки нулевого дня [3] )
  • Разверните брандмауэр [3]
  • Отключить просмотр каталогов
  • Не использовать пароли по умолчанию [3]

Обнаружение [ править ]

Веб-оболочки можно легко изменить, поэтому обнаружить веб-оболочки непросто, а антивирусное программное обеспечение часто не может обнаруживать веб-оболочки. [3] [20]

Ниже приведены общие индикаторы наличия веб-оболочки на веб-сервере: [3] [4]

  • Аномально высокая загрузка веб-сервера (из-за интенсивной загрузки и выгрузки злоумышленником); [3] [20]
  • Файлы с ненормальной меткой времени (например, новее, чем дата последнего изменения); [20]
  • Неизвестные файлы на веб-сервере;
  • Файлы с сомнительными ссылками, например, cmd.exeили eval;
  • Неизвестные соединения в журналах веб-сервера

Например, файл, генерирующий подозрительный трафик (например, файл PNG, запрашиваемый с параметрами POST ); [3] [21] [22] [23] Сомнительный вход с серверов DMZ во внутренние подсети и наоборот. [3]

Веб-оболочки также могут содержать форму входа в систему, которая часто маскируется под страницу с ошибкой . [3] [24] [25] [26]

Используя веб-оболочки, злоумышленники могут изменять файл .htaccess (на серверах, на которых работает программное обеспечение HTTP-сервера Apache ) на веб-серверах, чтобы перенаправлять запросы поисковых систем на веб-страницу с вредоносным ПО или спамом . Часто веб-оболочки обнаруживают пользовательского агента, и контент, представляемый пауку поисковой системы, отличается от контента, представляемого браузеру пользователя. Чтобы найти веб-оболочку, обычно требуется смена пользовательского агента робота-робота. Как только веб-оболочка идентифицирована, ее можно легко удалить. [3]

Анализ журнала веб-сервера может указать точное местоположение веб-оболочки. У законных пользователей / посетителей обычно разные пользовательские агенты и рефереры (рефереры) , с другой стороны, веб-оболочка обычно посещается только злоумышленником, поэтому у них очень мало вариантов строк пользовательского агента. [3]

См. Также [ править ]

  • Бэкдор (вычисления)
  • Кибервойна
  • Интернет-безопасность
  • Сетевая безопасность
  • Китай Чоппер

Ссылки [ править ]

  1. ^ «Введение в веб-оболочки» . www.acunetix.com . Архивировано 28 марта 2019 года . Проверено 28 марта 2019 .
  2. ^ a b «Как можно использовать веб-оболочки для использования средств безопасности и серверов?» . SearchSecurity . Архивировано 28 марта 2019 года . Проверено 21 декабря 2018 .
  3. ^ Б с д е е г ч я J к л м п о р Q R сек т у V ш х у г аа аб переменного тока Департамента внутренней безопасности США. «Веб-оболочки - осведомленность об угрозах и руководство» . www.us-cert.gov . Архивировано 13 января 2019 года . Проверено 20 декабря 2018 года . Эта статья включает текст из этого источника, который находится в общественном достоянии .
  4. ^ a b c d e admin (3 августа 2017 г.). "Что такое веб-оболочка?" . вредоносное ПО . Архивировано 13 января 2019 года . Проверено 20 декабря 2018 года .
  5. ^ Гаечный ключ, PM; Ирвин, BVW (1 августа 2015 г.). «К таксономии веб-оболочки PHP с использованием анализа сходства с помощью деобфускации». 2015 Информационная безопасность для Южной Африки (ISSA) . С. 1–8. DOI : 10.1109 / ISSA.2015.7335066 . ISBN 978-1-4799-7755-0 - через IEEE Xplore.
  6. ^ a b c «Киберактивность правительства России, направленная на энергетику и другие критически важные инфраструктурные секторы - US-CERT» . www.us-cert.gov . Архивировано 20 декабря 2018 года . Проверено 20 декабря 2018 года .
  7. ^ соорганизатор, Макис Мурелатос, инженер по безопасности WordPress на FixMyWPWC Athens 2016; Поддержка, WP; Поклонник безопасности; Кайтсерфер, подражатель (16 октября 2017 г.). «Полное руководство по атакам на бэкдор - что такое бэкдоры WebShell» . fixmywp.com . Архивировано 13 января 2019 года . Проверено 20 декабря 2018 года .
  8. ^ "Есть WordPress? Расширение атак на веб-оболочку PHP C99" . 14 апреля 2016 года архивация с оригинала на 29 декабря 2018 года . Проверено 21 декабря 2018 .
  9. ^ a b «Взлом Equifax можно было« полностью предотвратить », если бы он использовал основные меры безопасности, - говорится в отчете House» . Архивировано 20 декабря 2018 года . Проверено 21 декабря 2018 .
  10. ^ «Архив Google Code - Долгосрочное хранилище для хостинга проектов Google Code» . code.google.com . Архивировано 23 января 2019 года . Проверено 22 декабря 2018 .
  11. ^ «Игра Webshell продолжается» . 8 июля 2016 года архивация с оригинала на 29 декабря 2018 года . Проверено 22 декабря 2018 .
  12. ^ «GitHub - b374k / b374k: PHP Webshell с удобными функциями» . Архивировано 07 мая 2019 года . Проверено 19 апреля 2019 .
  13. ^ "Есть WordPress? Расширение атак на веб-оболочку PHP C99" . 14 апреля 2016 года архивация с оригинала на 29 декабря 2018 года . Проверено 22 декабря 2018 .
  14. ^ "China Chopper" . NJCCIC . Архивировано 13 января 2019 года . Проверено 22 декабря 2018 .
  15. ^ "Что такое China Chopper Webshell и как найти его в скомпрометированной системе?" . 28 марта 2018. Архивировано 13 января 2019 года . Проверено 22 декабря 2018 .
  16. ^ «Разрушение сетчатой ​​оболочки China Chopper - Часть I« Разрушение оболочки China Chopper Web - Часть I » . FireEye . Архивировано 13 января 2019 года . Проверено 22 декабря 2018 .
  17. ^ "Веб-оболочки: Панель управления преступника | Netcraft" . news.netcraft.com . Архивировано 13 января 2019 года . Проверено 22 февраля 2019 .
  18. ^ "WSO Shell: Взлом идет изнутри дома!" . 22 июня 2017. Архивировано 9 января 2019 года . Проверено 22 декабря 2018 .
  19. ^ "Веб-оболочки: Панель управления преступника - Netcraft" . news.netcraft.com . Архивировано 13 января 2019 года . Проверено 22 декабря 2018 .
  20. ^ a b c «Разрушение сетчатой ​​оболочки China Chopper - Часть I« Разрушение оболочки China Chopper Web - Часть I »» . FireEye . Архивировано 13 января 2019 года . Проверено 20 декабря 2018 года .
  21. ^ "Системы обнаружения и предотвращения вторжений" . Архивировано 13 января 2019 года . Проверено 22 декабря 2018 .
  22. ^ LightCyber, Кейси Кросс, старший менеджер по продукту (16 июня 2016 г.). «Пять признаков того, что злоумышленник уже находится в вашей сети» . Сетевой мир . Архивировано 13 января 2019 года . Проверено 22 декабря 2018 .
  23. ^ «Анализ трафика для сетевой безопасности: два подхода к выходу за рамки данных сетевого потока» . Архивировано 14 ноября 2016 года . Проверено 22 декабря 2018 .
  24. ^ «Хакеры, скрывающие логины веб-оболочки на поддельных страницах ошибок HTTP» . BleepingComputer . Архивировано 26 июля 2018 года . Проверено 21 декабря 2018 .
  25. ^ «Хакеры, скрывающие логины веб-оболочки на поддельных страницах ошибок HTTP» . ThreatRavens . 24 июля 2018. Архивировано 13 января 2019 года . Проверено 17 февраля 2019 .
  26. ^ «Хакеры, скрывающие логины веб-оболочки на поддельных страницах ошибок HTTP» . cyware.com . Архивировано 13 января 2019 года . Проверено 22 декабря 2018 .