T1505.003: Веб-шелл

Злоумышленники могут внедрять на веб-серверы веб-шеллы в качестве бэкдоров, чтобы обеспечить постоянный доступ к системам. Веб-шелл — это веб-сценарий, который размещается на веб-сервере с открытым доступом и позволяет злоумышленнику использовать этот веб-сервер в качестве шлюза для доступа в сеть. Веб-шелл может предоставлять набор функций, доступных для выполнения, или интерфейс командной строки в системе, на которой расположен веб-сервер.

Помимо сценария на стороне сервера веб-шелл может иметь клиентскую программу с интерфейсом, которая используется для взаимодействия с веб-сервером (например, клиент веб-шелла China Chopper).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

supply_chain: PT-CR-1934: SupplyChain_TeamCity_Plugin_Modify: Использован плагин. Злоумышленники могут управлять плагинами TeamCity для загрузки вредоносного кода pt_application_firewall: PT-CR-1916: PTAF_Webshell_Detected: Приложение PT AF обнаружило попытку загрузить веб-оболочку на веб-сервер mitre_attck_execution: PT-CR-651: Suspicious_Webscript: Пользователь попытался запустить неизвестный скрипт unix_mitre_attck_persistence: PT-CR-1027: Unix_Webshell_Created: Потенциальная попытка загрузить веб-оболочку на веб-сервер под управлением Unix mitre_attck_persistence: PT-CR-266: Windows_Webshell_Created: Обнаружена потенциальная попытка разместить веб-шелл на веб-сервере Windows

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Веб-шеллы бывает трудно отследить. В отличие от других инструментов для постоянного удаленного доступа, они не устанавливают подключений. Серверная часть веб-шелла может быть небольшой и на первый взгляд безобидной. Например, PHP-версия веб-шелла China Chopper практически идентична этому фрагменту кода:

Тем не менее обнаружить их можно. Мониторинг процессов позволяет отследить, какие веб-серверы выполняют подозрительные действия, например порождают cmd.exe или обращаются к файлам за пределами веб-каталога.

Веб-шелл — это веб-сценарий, который размещается на веб-сервере с открытым доступом и позволяет злоумышленнику использовать этот сервер в качестве шлюза для доступа в сеть. Веб-шелл обеспечивает передачу команд от веб-приложений в серверную операционную систему. Эта аналитика отслеживает запуск исполняемых файлов, собирающих сведения об узле, через любые нетипичные для таких сред веб-службы.

Аналитика 1. Дерево процессов, указывающее на использование веб-шелла

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") (ParentImage="C:\Windows\System32\*w3wp.exe" OR ParentImage="httpd.exe" OR ParentImage="tomcat.exe" OR ParentImage="nginx.exe") (Image="C:\Windows\System32\cmd.exe OR Image="C:\Windows\SysWOW64\cmd.exe" OR Image="C:\Windows\System32\\powershell.exe OR Image="C:\Windows\SysWOW64\\powershell.exe OR Image="C:\Windows\System32\net.exe" OR Image="C:\Windows\System32\hostname.exe" OR Image="C:\Windows\System32\whoami.exe" OR Image="*systeminfo.exe OR Image="C:\Windows\System32\ipconfig.exe")

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Средства мониторинга файлов можно использовать для обнаружения изменений в файлах, которые хранятся в веб-каталоге веб-сервера. Если данные изменения не соответствуют обновлениям веб-сервера, это может свидетельствовать о внедрении сценария веб-шелла.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на внедрение веб-шеллов на веб-серверы в качестве бэкдоров для обеспечения постоянного доступа к системам. Включите журналирование попыток аутентификации на сервере, а также аномальных шаблонов вредоносного входящего и исходящего трафика на сервере и во внутренней сети .

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, с помощью которых злоумышленники могут внедрять на веб-серверы веб-шеллы в качестве бэкдоров, чтобы обеспечить постоянный доступ к системам.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

По возможности отключите функции веб-технологий, такие как evaI() в PHP, которые могут быть использованы для создания веб-шеллов.

IDM1018НазваниеУправление учетными записямиОписание

Используя принцип минимальных привилегий, ограничьте привилегии пользователей таким образом, чтобы только авторизованные учетные записи могли изменять сетевые каталоги.