T1505.003: Веб-шелл
Злоумышленники могут внедрять на веб-серверы веб-шеллы в качестве бэкдоров, чтобы обеспечить постоянный доступ к системам. Веб-шелл — это веб-сценарий, который размещается на веб-сервере с открытым доступом и позволяет злоумышленнику использовать этот веб-сервер в качестве шлюза для доступа в сеть. Веб-шелл может предоставлять набор функций, доступных для выполнения, или интерфейс командной строки в системе, на которой расположен веб-сервер.
Помимо сценария на стороне сервера веб-шелл может иметь клиентскую программу с интерфейсом, которая используется для взаимодействия с веб-сервером (например, клиент веб-шелла China Chopper).
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
supply_chain: PT-CR-1934: SupplyChain_TeamCity_Plugin_Modify: Использован плагин. Злоумышленники могут управлять плагинами TeamCity для загрузки вредоносного кода pt_application_firewall: PT-CR-1916: PTAF_Webshell_Detected: Приложение PT AF обнаружило попытку загрузить веб-оболочку на веб-сервер mitre_attck_execution: PT-CR-651: Suspicious_Webscript: Пользователь попытался запустить неизвестный скрипт unix_mitre_attck_persistence: PT-CR-1027: Unix_Webshell_Created: Потенциальная попытка загрузить веб-оболочку на веб-сервер под управлением Unix mitre_attck_persistence: PT-CR-266: Windows_Webshell_Created: Обнаружена потенциальная попытка разместить веб-шелл на веб-сервере Windows
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Веб-шеллы бывает трудно отследить. В отличие от других инструментов для постоянного удаленного доступа, они не устанавливают подключений. Серверная часть веб-шелла может быть небольшой и на первый взгляд безобидной. Например, PHP-версия веб-шелла China Chopper практически идентична этому фрагменту кода: Тем не менее обнаружить их можно. Мониторинг процессов позволяет отследить, какие веб-серверы выполняют подозрительные действия, например порождают cmd.exe или обращаются к файлам за пределами веб-каталога. Веб-шелл — это веб-сценарий, который размещается на веб-сервере с открытым доступом и позволяет злоумышленнику использовать этот сервер в качестве шлюза для доступа в сеть. Веб-шелл обеспечивает передачу команд от веб-приложений в серверную операционную систему. Эта аналитика отслеживает запуск исполняемых файлов, собирающих сведения об узле, через любые нетипичные для таких сред веб-службы. Аналитика 1. Дерево процессов, указывающее на использование веб-шелла
|
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Средства мониторинга файлов можно использовать для обнаружения изменений в файлах, которые хранятся в веб-каталоге веб-сервера. Если данные изменения не соответствуют обновлениям веб-сервера, это может свидетельствовать о внедрении сценария веб-шелла. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на внедрение веб-шеллов на веб-серверы в качестве бэкдоров для обеспечения постоянного доступа к системам. Включите журналирование попыток аутентификации на сервере, а также аномальных шаблонов вредоносного входящего и исходящего трафика на сервере и во внутренней сети . |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, с помощью которых злоумышленники могут внедрять на веб-серверы веб-шеллы в качестве бэкдоров, чтобы обеспечить постоянный доступ к системам. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | По возможности отключите функции веб-технологий, такие как |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Используя принцип минимальных привилегий, ограничьте привилегии пользователей таким образом, чтобы только авторизованные учетные записи могли изменять сетевые каталоги. |
---|