Web Shell 检测、防御、缓解
两国情报政府机构联合发布的安全报告长达17页,其中为安全团队提供大量参考信息,比如检测隐藏后门,并在发现后管理和恢复影响进程,在未打补丁的服务器上部署工具来拦截恶意攻击者。NSA有一个专用的GitHub存储库,其中包含公司用来检测和阻止Web Shell威胁并拦截Web Shell部署的工具,这些工具包括:
“Known-good”文件对比脚本 ,可将伪装图片和流行图片进行对比
Splunk查询,用于检测Web流量中的异常URL
Internet信息服务(IIS)日志分析工具
常见Web Shell的网络流量签名
识别意外网络流量的说明
识别Sysmon数据中异常流程调用的说明
使用Audited识别异常流程调用的说明
用于阻止对可通过Web访问的目录的更改的HIPS规则
常用的Web应用程序漏洞列表
黑客利用Web应用程序漏洞或将其他感染系统加载来部署Web Shell 。Web Shell可以用作持久后门或中继节点,并将攻击者的命令路由转到其他系统。
攻击者经常将多个感染系统上的Web Shell链接在一起,跨网络按特定路线传输流量,例如从外部网络系统到内部网络。
http://cdn.u1.huluxia.com/g4/M02/E1/6C/rBAAdl8lVoyAJveGAANVGaguiNM627.pnghttp://cdn.u1.huluxia.com/g4/M02/E1/6C/rBAAdl8lVo2AeGXGAAIvxHAjNVk61.jpeg
页:
[1]