Техника на mitre.org

T1505.003: Веб-шелл

Злоумышленники могут внедрять на веб-серверы веб-шеллы в качестве бэкдоров, чтобы обеспечить постоянный доступ к системам. Веб-шелл — это веб-сценарий, который размещается на веб-сервере с открытым доступом и позволяет злоумышленнику использовать этот веб-сервер в качестве шлюза для доступа в сеть. Веб-шелл может предоставлять набор функций, доступных для выполнения, или интерфейс командной строки в системе, на которой расположен веб-сервер.

Помимо сценария на стороне сервера веб-шелл может иметь клиентскую программу с интерфейсом, которая используется для взаимодействия с веб-сервером (например, клиент веб-шелла China Chopper).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

supply_chain: PT-CR-1934: SupplyChain_TeamCity_Plugin_Modify: Использован плагин. Злоумышленники могут управлять плагинами TeamCity для загрузки вредоносного кода pt_application_firewall: PT-CR-1916: PTAF_Webshell_Detected: Приложение PT AF обнаружило попытку загрузить веб-оболочку на веб-сервер mitre_attck_execution: PT-CR-651: Suspicious_Webscript: Пользователь попытался запустить неизвестный скрипт unix_mitre_attck_persistence: PT-CR-1027: Unix_Webshell_Created: Потенциальная попытка загрузить веб-оболочку на веб-сервер под управлением Unix mitre_attck_persistence: PT-CR-266: Windows_Webshell_Created: Обнаружена потенциальная попытка разместить веб-шелл на веб-сервере Windows

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Веб-шеллы бывает трудно отследить. В отличие от других инструментов для постоянного удаленного доступа, они не устанавливают подключений. Серверная часть веб-шелла может быть небольшой и на первый взгляд безобидной. Например, PHP-версия веб-шелла China Chopper практически идентична этому фрагменту кода: Тем не менее обнаружить их можно. Мониторинг процессов позволяет отследить, какие веб-серверы выполняют подозрительные действия, например порождают cmd.exe или обращаются к файлам за пределами веб-каталога. Веб-шелл — это веб-сценарий, который размещается на веб-сервере с открытым доступом и позволяет злоумышленнику использовать этот сервер в качестве шлюза для доступа в сеть. Веб-шелл обеспечивает передачу команд от веб-приложений в серверную операционную систему. Эта аналитика отслеживает запуск исполняемых файлов, собирающих сведения об узле, через любые нетипичные для таких сред веб-службы. Аналитика 1. Дерево процессов, указывающее на использование веб-шелла (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") (ParentImage="C:\Windows\System32\w3wp.exe" OR ParentImage="httpd.exe" OR ParentImage="tomcat.exe" OR ParentImage="nginx.exe") (Image="C:\Windows\System32\cmd.exe OR Image="C:\Windows\SysWOW64\cmd.exe" OR Image="C:\Windows\System32\\powershell.exe OR Image="C:\Windows\SysWOW64\\powershell.exe OR Image="C:\Windows\System32\net.exe" OR Image="C:\Windows\System32\hostname.exe" OR Image="C:\Windows\System32\whoami.exe" OR Image="systeminfo.exe OR Image="C:\Windows\System32\ipconfig.exe")

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Средства мониторинга файлов можно использовать для обнаружения изменений в файлах, которые хранятся в веб-каталоге веб-сервера. Если данные изменения не соответствуют обновлениям веб-сервера, это может свидетельствовать о внедрении сценария веб-шелла.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на внедрение веб-шеллов на веб-серверы в качестве бэкдоров для обеспечения постоянного доступа к системам. Включите журналирование попыток аутентификации на сервере, а также аномальных шаблонов вредоносного входящего и исходящего трафика на сервере и во внутренней сети .

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения в файлах, с помощью которых злоумышленники могут внедрять на веб-серверы веб-шеллы в качестве бэкдоров, чтобы обеспечить постоянный доступ к системам.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Веб-шеллы бывает трудно отследить. В отличие от других инструментов для постоянного удаленного доступа, они не устанавливают подключений. Серверная часть веб-шелла может быть небольшой и на первый взгляд безобидной. Например, PHP-версия веб-шелла China Chopper практически идентична этому фрагменту кода: Тем не менее обнаружить их можно. Мониторинг процессов позволяет отследить, какие веб-серверы выполняют подозрительные действия, например порождают cmd.exe или обращаются к файлам за пределами веб-каталога. Веб-шелл — это веб-сценарий, который размещается на веб-сервере с открытым доступом и позволяет злоумышленнику использовать этот сервер в качестве шлюза для доступа в сеть. Веб-шелл обеспечивает передачу команд от веб-приложений в серверную операционную систему. Эта аналитика отслеживает запуск исполняемых файлов, собирающих сведения об узле, через любые нетипичные для таких сред веб-службы. Аналитика 1. Дерево процессов, указывающее на использование веб-шелла (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") (ParentImage="C:\Windows\System32\w3wp.exe" OR ParentImage="httpd.exe" OR ParentImage="tomcat.exe" OR ParentImage="nginx.exe") (Image="C:\Windows\System32\cmd.exe OR Image="C:\Windows\SysWOW64\cmd.exe" OR Image="C:\Windows\System32\\powershell.exe OR Image="C:\Windows\SysWOW64\\powershell.exe OR Image="C:\Windows\System32\net.exe" OR Image="C:\Windows\System32\hostname.exe" OR Image="C:\Windows\System32\whoami.exe" OR Image="systeminfo.exe OR Image="C:\Windows\System32\ipconfig.exe")
DS0022	Файл: Создание файла	Средства мониторинга файлов можно использовать для обнаружения изменений в файлах, которые хранятся в веб-каталоге веб-сервера. Если данные изменения не соответствуют обновлениям веб-сервера, это может свидетельствовать о внедрении сценария веб-шелла.
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на внедрение веб-шеллов на веб-серверы в качестве бэкдоров для обеспечения постоянного доступа к системам. Включите журналирование попыток аутентификации на сервере, а также аномальных шаблонов вредоносного входящего и исходящего трафика на сервере и во внутренней сети .
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0022	Файл: Изменение файла	Отслеживайте изменения в файлах, с помощью которых злоумышленники могут внедрять на веб-серверы веб-шеллы в качестве бэкдоров, чтобы обеспечить постоянный доступ к системам.

Меры противодействия

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	По возможности отключите функции веб-технологий, такие как `evaI()` в PHP, которые могут быть использованы для создания веб-шеллов.

ID	M1018	Название	Управление учетными записями	Описание	Используя принцип минимальных привилегий, ограничьте привилегии пользователей таким образом, чтобы только авторизованные учетные записи могли изменять сетевые каталоги.

ID	Название	Описание
M1042	Отключение или удаление компонента или программы	По возможности отключите функции веб-технологий, такие как `evaI()` в PHP, которые могут быть использованы для создания веб-шеллов.
M1018	Управление учетными записями	Используя принцип минимальных привилегий, ограничьте привилегии пользователей таким образом, чтобы только авторизованные учетные записи могли изменять сетевые каталоги.