微软每天可发现77000个活跃的WebShell

在2月4日左右，微软发布了一篇针对WebShell的简单分析报告，正文如下：

近期，公共部门的某个组织发现他们一个位于互联网的服务器出现配置错误，使得攻击者上传一个WebShell，得到了一个进攻内网的立足点。该组织在发现后立马聘请了微软的检测和反应小组（DART）进行安全事件的紧急响应，并在可能出现更严重的损害之前进行补救。

而DART的调查显示，攻击者将一个WebShell上传到Web服务器上的多个文件夹中，并通过进一步攻击获得了服务器帐户和域管理帐户。随后攻击者使用了net.exe进行网络侦察，使用nbstat.exe扫描了其他的系统，并正在最后使用PsExec进行横向渗透。

攻击者也成功在其他系统上植入了WebShell，并在Outlook Web Access （OWA）服务器上安装了一个DLL后门。为了持久控制服务器，该后门被注册为服务或Exchange传输代理（可访问和拦截所有传入和传出的电子邮件，导致敏感信息泄露）。此外该后门还执行了额外的扫描行为，下载其他恶意软件等（攻击链如下所示）。

以上这个案例只是越来越多的WebShell攻击事件中的普通一件，但也影响了不同部门的多个组织。通常来说，WebShell是一段恶意代码，通常由典型的Web开发编程语言（如ASP、PHP、JSP）所编写，攻击者将其植入Web服务器中，以提供针对目标服务器功能的远程访问和代码执行功能。WebShell既可帮助攻击者从Web服务器窃取数据，又可作为进一步攻击的跳板。

随着WebShell在网络攻击中出现身影越来越频繁，微软的DART、Defender ATP研究团队和微软威胁情报中心（MSTIC）一直在积极调查并密切监视这种安全威胁。

当前现状

目前全球范围内的多个攻击组织，包括ZINC，KRYPTON，GALLIUM等都被观察到在攻击中使用了WebShell。而为了植入WebShell，攻击者通常需要利用位于互联网的Web服务器的安全漏洞，一般就是Web应用的漏洞，例如CVE-2019-0604和CVE-2019-16759。

通过对这类攻击进行调查发现，WebShell文件的名字往往看起来像Web服务器中合法文件，以进行混淆，例如:

index.aspx
fonts.aspx
css.aspx
global.aspx
default.php
function.php
Fileuploader.php
help.js
write.jsp
31.jsp

在目前所使用的WebShell中，和中国菜刀相关的WebShell是使用最广泛的，示例如下（JSP编写的）：

而伪装成合法文件的WebShell如下：

而另一个中国菜刀变种WebShell（PHP编写的）：

此外，KRYPTON组织在ASP.NET环境中还使用了C#编写的定制WebShell：

WebShell影响了众多的行业，任何和外界网络有接触的公司和组织都有可能成为攻击者的目标。而除了利用Web应用本身的漏洞外，攻击者还会试图利用服务器中可能存在的其他缺陷，包括安全更新的不及时、缺少防病毒和网络保护软件，缺少流量监控等。有趣的是，我们观察到攻击通常发生在周末或非工作时间，因为此时网络攻击事件可能不会立即被发现和响应。

但不管如何，WebShell一直保持高度活跃，平均每个月Microsoft Defender Advanced Threat Protection（ATP）会检测到77000个活跃的WebShell及其相关组件，平均涉及46000台不同的机器。

检测和防御WebShell

由于WebShell是一个多方面威胁，企业应建立多位面的防御。

Microsoft Defender ATP通过分析脚本文件的写入和进程的执行来发现危险行为，进而查看这是否代表WebShell的安装和活动。管理人员可通过Microsoft Defender ATP中的警告和修复功能来调查和解决WebShell攻击。

与应对其他安全问题一样，及时更新系统、审核日志、开启防火墙、限制访问，控制权限等永远是不可忽视的防控手段。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.microsoft.com/security/blog/2020/02/04/ghost-in-the-shell-investigating-web-shell-attacks/