网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线: 152-150-65-006 023-68263070 扫描二维码加我微信 在线QQ

无线安全团结互助,让我们共同进步!

当前位置:主页 > 技术资讯 > 网络安全 > 无线安全 >

我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧

Web Shell攻击:net.exe侦察,nbstat.exe扫描其他目标系统,最后使用PsExec横向移动

文章来源:重庆网络安全 发布时间:2020-02-07 10:47:57 围观次数:
分享到:

摘要:攻击者可以在Web服务器上的多个文件夹中部署Webshel​​l,从而导致服务帐户和域管理帐户受到攻击。 攻击者使用net exe进行侦察,使用nbstat exe扫描其他目标系统,最后使用PsExec横向移动。

      服务器配置错误,攻击者可以在Web服务器上的多个文件夹中部署Webshell,从而导致服务帐户和域管理帐户受到攻击。 攻击者使用net.exe进行侦察,使用nbstat.exe扫描其他目标系统,最后使用PsExec横向移动。

攻击者在其他系统上安装了附加的Web Shell,并在OutlookWeb Access(OWA)服务器上安装了DLL后门。      为了对服务器进行持久控制,后门将其自身注册为服务或Exchange传输代理,从而允许其访问和拦截所有传入和传出的电子邮件,并收集敏感信息。 后门还执行其他攻击命令并下载恶意负载。 此外,攻击者还发送了一封特殊电子邮件,DLL后门将其解释为命令。

image.png

此案例是影响各个部门中多个组织的常见Web攻击之一。 常见的Web开发编程语言(例如ASP,PHP,JSP)用于编写恶意代码,攻击者可以将其远程访问并执行代码,攻击者将其植入Web服务器,并通过以下方法从Web服务器窃取数据 执行命令。


  当前情况下的Web Shell攻击

  袭击中观察到包括ZINC,KRYPTON和GALLIUM在内的多个shell。 为了植入webshell,攻击者利用了Internet上暴露的Web服务器安全漏洞,通常是Web应用程序中的漏洞,例如CVE-2019-0604或CVE-2019-16759。


  在调查这些类型的攻击时,发现文件中的Web Shell试图隐藏或与Web服务器中的合法文件名混合,例如:


  index.aspx


  fonts.aspx


  css.aspx


  global.aspx


  default.php


  function.php


  Fileuploader.php


  help.js


  write.jsp


  31.jsp


  China Chopper是最常用的Web Shell之一。 常见示例如下:

image.png

在服务器上发现的jsp恶意代码如下:

image.png

用PHP语言编写的China Chopper变体:

image.png

KRYPTON在ASP.NET页中使用C#编写的Web Shell:

image.png

一旦将Web Shell成功插入Web服务器,攻击者就可以在Web服务器上执行各种任务。Webshell程序可以窃取数据,利用攻击并运行其他恶意命令来进一步破坏。


  Web shell影响了许多行业,公共部门组织是最常见的目标部门之一。 攻击者除了利用Web应用程序或Web服务器中的漏洞外,还利用服务器中的其他漏洞。 例如,缺少最新的安全更新,防病毒工具,网络保护,安全配置等。攻击通常发生在周末或休息时间,此时可能无法立即检测到攻击并做出响应。 这些漏洞非常普遍,Microsoft(ATP)每个月都会在46,000台不同的计算机上平均检测到77,000个与Webshell相关的文件。

image.png

检测与预防

  由于webshell是一个多方面的威胁,因此组织应该从多个攻击面构建全面的防御:身份验证,终结点,电子邮件和数据,应用程序和基础结构等等。


  了解面向Internet的服务器是检测和解决Web威胁的关键。 可以通过监视Web应用程序目录中文件的写入来检测Web Shell的安装。 安装后,诸如Outlook Web Access(OWA)之类的应用程序很少更改,因此应将其写入这些应用程序目录中。


  通过分析由信息服务(IIS)w3wp.exe创建的进程来检测webshell活动。 与侦察活动相关的进程序列,例如net.exe,ping.exe,systeminfo.exe和hostname.exe的序列。  w3wp.exe在通常不执行诸如“ MSExchangeOWAAppPool”进程之类的进程的应用程序池中运行的任何cmd.exe进程都应被视为异常并且可能是恶意的。

image.png

image.png

image.png

与大多数安全问题一样,预防是必不可少的。 通过采取以下预防措施,可以增强系统抵抗Webshell攻击的能力:


  1.识别并修复Web应用程序和Web服务器中的漏洞或错误配置,并及时进行更新。


  2.经常查看和检查Web服务器的日志,并注意直接在Internet上公开的所有系统。


  3.尽可能使用Windows Defender防火墙,入侵防御设备和网络防火墙,以防止在端点之间执行命令以及与控制服务器进行通信,并限制横向移动和其他攻击活动。


  4.检查外围防火墙和代理,以限制对服务的不必要访问,包括通过非标准端口访问服务。


  5.为最新防御启用云保护。


  6.对最终用户进行有关如何防止恶意软件感染的教育,并建立限制证书的用户。


本文由 重庆网络安全 整理发布,转载请保留出处,内容部分来自于互联网,如有侵权请联系我们删除。

相关热词搜索:Web Shell攻击 net exe侦察 nbstat exe扫描 PsExec横向移动 重庆网络安全

上一篇:分析攻击Docker平台恶意行为使用的策略和技术以及检测和阻止这些活动的措施
下一篇:fortify sca自定义代码安全扫描工具扫描规则(源代码编写、规则定义和扫描结果展示)

热门资讯

鼠标向下滚动