Бесплатно Экспресс-аудит сайта:

25.04.2020

АНБ опубликовало инструменты для выявления web-оболочек на серверах

Агентство национальной безопасности США и Управление радиотехнической обороны Австралии опубликовали совместное уведомление безопасности, в котором рекомендовали компаниям провести аудит своих внутренних и подключенных к интернету серверов на предмет наличия на них web-оболочек. Регуляторы также предоставили бесплатные инструменты, позволяющие системным администраторам выявлять и обезвреживать вредоносные web-оболочки.

На сегодняшний день web-оболочки являются одной из самых популярных форм вредоносного ПО. Они представляют собой вредоносные программы или скрипты, устанавливаемые хакерами на взломанных серверах. Web-оболочки обеспечивает злоумышленникам визуальный интерфейс, позволяющий взаимодействовать со взломанным сервером и его файловой системой. Большинство web-оболочек оснащены функциями переименования, копирования, удаления, редактирования и загрузки файлов на сервер. Кроме того, их можно использовать для изменения разрешений для файлов и директорий, архивирования и выгрузки (похищения) данных с сервера.

На подключенные к интернету серверы хакеры устанавливают web-оболочки через уязвимости в них или в web-приложениях (системах управления контентом (CMS), CMS-плагинах, CMS-темах, CRM-системах, внутренних корпоративных сетях, корпоративных приложениях и пр.).

Однако далеко не все компании понимают опасность присутствия на их серверах вредоносных web-оболочек, выполняющих функции бэкдора и требующих принятия самых серьезных мер. В связи с этим Агентство национальной безопасности США и Управление радиотехнической обороны Австралии выпустили совместный отчет, в котором обратили внимание компаний на этот обычно упускаемый из виду вектор атак.

«Web-оболочки могут играть роль постоянных бэкдоров или релейных узлов для маршрутизации команд злоумышленников на другие системы. Зачастую атакующие связывают web-оболочки на нескольких скомпрометированных системах для маршрутизации трафика по сетям, например, от подключенных к интернету систем к внутренним сетям», - сообщается в отчете.

Опубликованные регуляторами инструменты для выявления и обезвреживания вредоносных web-оболочек включают: Splunk-запросы для обнаружения аномальных URL-адресов в web-трафике, инструмент для анализа журналов Internet Information Services (IIS), сигнатуры сетевого трафика для распространенных web-оболочек, инструкции для выявления аномальных потоков трафика и вызовов процессов в Sysmon или с использованием Auditd и пр. В отчете также представлен список часто эксплуатируемых уязвимостей в web-приложениях и популярных инструментах, в том числе в Microsoft SharePoint, Microsoft Exchange, Citrix, Atlassian Confluence, WordPress, Zoho ManageEngine и Adobe ColdFusion.