美国国安局(NSA)与负责搜集海外情报的澳洲信号局(Australian Signals Directorate,ASD),本周联手对外提出警告,他们发现越来越多的黑客利用网页壳层(Web Shell)来渗透受害者的网络,以自远程执行任意的系统命令,因而共同发布《网络安全信息指南》(Cybersecurity Information Sheet),以协助各组织侦测及预防Web Shell恶意程序。
Web Shell是种基于命令行的操作接口,可以各种语言撰写,但最热门的Web Shell语言为众多网络服务器所支持的PHP,虽然Web Shell可能是良性的,但因为受到黑客青睐以作为后门工具,已日渐成为网络安全威胁的代名词。
ASD指出,黑客锁定那些使用网络服务的组织,将恶意的Web Shell上传到有漏洞或被攻陷的网页服务器上,并根据目的来执行各种系统命令、列出系统信息、窃取资料、安装其它的恶意程序,或是借由感染服务器来深入受害者的网络;这些受到感染的网页服务器提供的,可能是内部的网络服务或者是公开的网络服务,例如内容管理系统。
ASD发现,去年有众多的黑客利用Web Shell,并针对锁定澳洲及澳洲的国际伙伴展开攻击,威胁了国家安全、经济与私人企业的利益。
《网络安全信息指南》则是ASD与NSA首度合作的安全文件,期望能借此警告所有的可能受到威胁的单位。
根据该文件,黑客经常借由在既有的网页应用程序上添加或变更其中一个文件,来创建Web Shell,这些Web Shell让黑客得以常驻在受害者的网络上,并伪装成合法的通信流量;且不只是面对公开网络的系统可能被黑客相中,组织内部的内容管理系统或是网络设备管理接口,也经常成为被攻击目标。
Web Shell通常不容易被侦测到,因为黑客很容易就能变更它,也会模糊它的存在或将它加密,最有效的方法应该是同时采用多种不同的侦测技术,包括与已知的良性应用进行比对、网页流量异常检测、特征检测、留心意外流量,以及端点的检测与回应能力等。
在预防上,ASD与NSA则建议组织应该要优先修补网页应用程序的安全漏洞,严格规定网页应用的访问权限,定期监控文件的完整性,部署入侵防御系统与网页应用防火墙,隔离重要的网络,同时强化网页服务器与网页应用的配置等。