美国国安局(NSA)与澳洲信号局(AustralianSignalsDirectorate,ASD)早在去年4月就曾公开对外警告,越来越多的黑客利用网页壳层(WebShell)来渗透受害者的网络,以自远程执行任意的系统命令,近日微软不仅呼应了NSA与ASD的说法,还说该趋势不但仍然持续着,更加速进行中,从去年8月到今年1月间,平均每个月在服务器上所发现的WebShell威胁有14万起,几乎是前一年同期的两倍。
WebShell指的是以网页开发程序语言所撰写的小程序,可能是PHP、ASP或JSP,黑客把这些小程序植入网页服务器,以自远程访问或执行服务器上的功能;WebShell允许黑客于服务器上执行命令,以窃取资料,或是把服务器当作攻击跳板,像是窃取凭证、横向移动、部署其它的酬载、实际操作键盘的活动,同时允许黑客常驻于受黑的组织内。
采用WebShell攻击的黑客,通常会利用网页应用程序或公开网络服务器上的安全漏洞,他们通过网络扫描来选定攻击目标,所开采的可能是粗心大意而未被修补的漏洞,有时则是刚被披露的新漏洞。
一旦黑客在服务器上植入了恶意的WebShell,它就会成为长驻受黑系统最有效的工具之一。微软指出,他们经常看到WebShell唯一的功能就是常驻,成为黑客持续访问受害系统的入口,然而,要找到这个恶意的WebShell并不容易,它们不只可采用不同的语言与架构,而且看起来可能是无害的,更或者是大量的网络流量、再加上各种网络攻击行动所产生的噪音,协助了WebShell的藏匿。
此外,黑客可能把指令藏匿在用户代理人字符串或任何参数中,且除非已使用,否则很难借由分析WebShell的脉络,来判断它的恶意行为或企图。
黑客还会把WebShell放在诸如媒体文件等非执行文件格式,例如在一张照片中植入WebShell脚本程序,再将它上传到网页服务器上,于工作站加载并分析该文件时,显示照片是无害的,可一旦浏览器向服务器请求该文件,恶意的WebShell就会在服务器端执行。
微软警告,单一的WebShell就能让黑客自远程执行命令,恐会带来深远的影响,组织应该要强化系统来对抗WebShell攻击,包括识别与修补网页应用程序及网页服务器的安全漏洞及错误配置;适当地切割网络边界以免企业网络遭到波及;于网页服务器上激活杀毒保护;经常审核日志,小心那些暴露于公开网络的系统;部署及检查防火墙机制;采用严谨的凭证政策,以及限制管理员账号的使用等。