Веб-оболочка

— Веб-оболочка это интерфейс, похожий на оболочку , который обеспечивает удаленный доступ к веб-серверу , часто в целях кибератак . ^[1] Веб-оболочка уникальна тем, что веб-браузер . для взаимодействия с ней используется ^[2]^[3]

Веб-оболочка может быть запрограммирована на любом языке программирования , поддерживаемом сервером. Веб-оболочки чаще всего пишутся на PHP из-за широкого использования PHP для веб-приложений . Хотя Active Server Pages , ASP.NET , Python , Perl , Ruby и Unix. оболочки также используются сценарии ^[1]^[2]^[3]

Используя инструменты мониторинга сети , злоумышленник может найти уязвимости , которые потенциально могут сделать возможным доставку веб-оболочки. Эти уязвимости часто присутствуют в приложениях, запускаемых на веб-сервере. ^[2]

Злоумышленник может использовать веб-оболочку для ввода команд оболочки, повышения привилегий на веб-сервере, а также для возможности загружать , удалять , загружать и выполнять файлы на веб-сервере и с него. ^[2]

Общее использование [ править ]

Веб-шеллы используются в атаках главным образом потому, что они многоцелевые и их трудно обнаружить. ^[4] Их обычно используют для:

Кража данных ^[4]
Заражение посетителей сайта ( атаки на водопои ) ^[5]
Повреждение сайта путем изменения файлов со злым умыслом
типа «отказ в обслуживании» ( DDoS ). Запускать распределенные атаки ^[2]
Для передачи команд внутри сети, недоступной через Интернет. ^[2]
Для использования в качестве базы управления и контроля , например, в качестве бота в системе ботнетов или для компрометации безопасности дополнительных внешних сетей. ^[2]

Веб-оболочки дают хакерам возможность красть информацию, портить данные и загружать вредоносные программы , которые наносят больший ущерб системе. Проблема обостряется, когда хакеры используют скомпрометированные серверы, чтобы проникнуть в систему и поставить под угрозу дополнительные машины. Веб-оболочки также являются способом, с помощью которого злоумышленники нацеливаются на различные отрасли, включая правительственную, финансовую и оборонную, посредством кибершпионажа. Одна из очень известных веб-оболочек, используемых таким образом, известна как « China Chopper ». ^[6]

Доставка веб-шеллов [ править ]

Веб-оболочки устанавливаются через уязвимости в веб-приложении или слабую конфигурацию безопасности сервера, включая следующее: ^[2]^[4]

SQL-инъекция ;
Уязвимости в приложениях и службах (например, программное обеспечение веб-сервера , такое как NGINX , или приложения системы управления контентом, такие как WordPress ); ^[7]^[8]
Уязвимости обработки и загрузки файлов, которые можно устранить, например, ограничив типы файлов, которые можно загружать; ^[8]
удаленного включения файлов (RFI) и локального включения файлов (LFI); Уязвимости
Удаленное выполнение кода ;
Открытые интерфейсы администрирования; ^[2]

Злоумышленник также может изменить ( подделать ) Content-Type заголовок, который будет отправлен злоумышленником при загрузке файла, чтобы обойти неправильную проверку файла (проверка с использованием типа MIME, отправленного клиентом), что приведет к успешной загрузке оболочки злоумышленника.

Пример [ править ]

Ниже приведен простой пример веб-оболочки, написанной на PHP, которая выполняет и выводит результат команды оболочки:

<?=  `$_GET[x]`  ?>

Предполагая, что имя файла example.php, пример вывода содержимого /etc/passwd файл показан ниже:

https://example.com/example.php?x=cat%20%2Fetc%2Fpasswd

Приведенный выше запрос примет значение x параметр строки запроса , отправляя следующую команду оболочки:

кот   /etc/passwd

Этого можно было бы избежать, если бы функции оболочки PHP были отключены, чтобы произвольные команды оболочки не могли выполняться из PHP.

Предотвращение и смягчение последствий [ править ]

Веб-оболочка обычно устанавливается с использованием уязвимостей, присутствующих в программном обеспечении веб-сервера. Вот почему важно удалить эти уязвимости, чтобы избежать потенциального риска взлома веб-сервера.

Ниже приведены меры безопасности для предотвращения установки веб-оболочки: ^[2]^[3]

Регулярно обновляйте приложения и операционную систему хост-сервера, чтобы обеспечить устойчивость к известным ошибкам.
Развертывание демилитаризованной зоны (DMZ) между веб-серверами и внутренними сетями.
Безопасная настройка веб-сервера ^[2]
Закрытие или блокировка портов и служб, которые не используются. ^[2]
Использование проверки входных данных пользователя для ограничения уязвимостей локального и удаленного включения файлов. ^[2]
Используйте службу обратного прокси-сервера , чтобы ограничить административные URL-адреса известными законными. ^[2]
Частое сканирование уязвимостей для обнаружения областей риска и регулярное сканирование с использованием программного обеспечения веб-безопасности (это не предотвращает атаки нулевого дня). ^[2])
Развертывание брандмауэра ^[2]
Отключить просмотр каталогов ^{[ нужна ссылка ]}
Не использовать пароли по умолчанию ^[2]

Обнаружение [ править ]

Веб-оболочки можно легко модифицировать, поэтому обнаружить веб-оболочки непросто, а антивирусное программное обеспечение часто не может обнаружить веб-оболочки. ^[2]^[9]

Ниже приведены общие индикаторы присутствия веб-оболочки на веб-сервере: ^[2]^[3]

Аномально высокая загрузка веб-сервера (из-за интенсивной загрузки и выгрузки злоумышленником); ^[2]^[9]
Файлы с ненормальной отметкой времени (например, новее даты последнего изменения); ^[9]
Неизвестные файлы на веб-сервере;
Файлы, имеющие сомнительные ссылки, например, cmd.exe или eval;
Неизвестные соединения в логах веб-сервера

Например, файл, генерирующий подозрительный трафик (например, файл PNG , запрашивающий параметры POST ). ^[2]^[10]^[11]^[12] Сомнительные входы с серверов DMZ во внутренние подсети и наоборот. ^[2]

Веб-оболочки также могут содержать форму входа, которая часто маскируется под страницу с ошибкой . ^[2]^[13]^[14]^[15]

Используя веб-оболочки, злоумышленники могут изменить файл .htaccess (на серверах с программным обеспечением Apache HTTP Server ) на веб-серверах, чтобы перенаправить поисковых систем запросы на веб-страницу с вредоносным ПО или спамом . Часто веб-оболочки обнаруживают пользовательский агент , и контент, представленный пауку поисковой системы, отличается от контента, представленного браузеру пользователя. Чтобы найти веб-оболочку, пользовательского агента обычно требуется смена бота-сканера. Как только веб-оболочка будет идентифицирована, ее можно легко удалить. ^[2]

Анализ журнала веб-сервера может определить точное местоположение веб-оболочки. Законные пользователи/посетители обычно имеют разные пользовательские агенты и ссылки , с другой стороны, веб-оболочку обычно посещает только злоумышленник, поэтому вариантов строк пользовательского агента очень мало. ^[2]

См. также [ править ]

Ссылки [ править ]

↑ Перейти обратно: Перейти обратно: ^а ^б «Как можно использовать веб-оболочки для взлома инструментов и серверов безопасности?» . Поисковая безопасность . Архивировано из оригинала 28 марта 2019 г. Проверено 21 декабря 2018 г.
↑ Перейти обратно: Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д ^р ^с ^т ^в ^v ^В ^х ^и Министерство внутренней безопасности США (9 августа 2017 г.). «Веб-оболочки – осведомленность об угрозах и руководство» . www.us-cert.gov . Архивировано из оригинала 13 января 2019 года . Проверено 20 декабря 2018 г. В данной статье использован текст из этого источника, находящегося в свободном доступе .
↑ Перейти обратно: Перейти обратно: ^а ^б ^с ^д админ (3 августа 2017 г.). «Что такое веб-оболочка?» . вредоносное ПО.эксперт . Архивировано из оригинала 13 января 2019 года . Проверено 20 декабря 2018 г.
↑ Перейти обратно: Перейти обратно: ^а ^б ^с «Кибердеятельность правительства России, направленная на энергетику и другие критически важные инфраструктурные сектора – US-CERT» . www.us-cert.gov . 16 марта 2018 г. Архивировано из оригинала 20 декабря 2018 г. Проверено 20 декабря 2018 г.
^ соорганизатор, Макис Мурелатос, инженер по безопасности WordPress на FixMyWPWC в Афинах 2016; Поддержка, WP; Поклонник безопасности; Кайтсерфер, Wannabe (16 октября 2017 г.). «Полное руководство по бэкдор-атакам — что такое бэкдоры WebShell» . fixmywp.com . Архивировано из оригинала 13 января 2019 года . Проверено 20 декабря 2018 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
^ Ханнусс, Абдельхаким; Яхиуш, Салима (01 сентября 2021 г.). «Обработка атак через веб-шелл: систематическое картирование и исследование» . Компьютеры и безопасность . 108 : 102366. doi : 10.1016/j.cose.2021.102366 . ISSN 0167-4048 .
^ «Есть WordPress? Число атак на веб-шелл PHP C99 растёт» . 14 апреля 2016 г. Архивировано из оригинала 29 декабря 2018 г. Проверено 21 декабря 2018 г.
↑ Перейти обратно: Перейти обратно: ^а ^б «Взлом Equifax можно было бы «полностью предотвратить», если бы использовались базовые меры безопасности, говорится в докладе Палаты представителей» . 10 декабря 2018 г. Архивировано из оригинала 20 декабря 2018 г. Проверено 21 декабря 2018 г.
↑ Перейти обратно: Перейти обратно: ^а ^б ^с «Разрушение веб-оболочки China Chopper — Часть I «Разрушение веб-оболочки China Chopper — Часть I» . Огненный Глаз . Архивировано из оригинала 13 января 2019 года . Проверено 20 декабря 2018 г.
^ «Системы обнаружения и предотвращения вторжений» . Архивировано из оригинала 13 января 2019 г. Проверено 22 декабря 2018 г.
^ LightCyber, Кейси Кросс, старший менеджер по продукту (16 июня 2016 г.). «Пять признаков того, что злоумышленник уже в вашей сети» . Сетевой мир . Архивировано из оригинала 13 января 2019 года . Проверено 22 декабря 2018 г. {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
^ «Анализ трафика для сетевой безопасности: два подхода к выходу за рамки данных о сетевых потоках» . 15 сентября 2016 г. Архивировано из оригинала 14 ноября 2016 г. Проверено 22 декабря 2018 г.
^ «Хакеры скрывают вход в веб-оболочку на поддельных страницах ошибок HTTP» . Мигающий компьютер . Архивировано из оригинала 26 июля 2018 года . Проверено 21 декабря 2018 г.
^ «Хакеры скрывают вход в веб-оболочку на поддельных страницах ошибок HTTP» . УгрозаВороны . 24 июля 2018 года. Архивировано из оригинала 13 января 2019 года . Проверено 17 февраля 2019 г.
^ «Хакеры скрывают вход в веб-оболочку на поддельных страницах ошибок HTTP» . cyware.com . Архивировано из оригинала 13 января 2019 года . Проверено 22 декабря 2018 г.

[techtarget.com-1] Перейти обратно: Перейти обратно: ^а ^б «Как можно использовать веб-оболочки для взлома инструментов и серверов безопасности?» . Поисковая безопасность . Архивировано из оригинала 28 марта 2019 г. Проверено 21 декабря 2018 г.

[us-cert.gov-2] Перейти обратно: Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д ^р ^с ^т ^в ^v ^В ^х ^и Министерство внутренней безопасности США (9 августа 2017 г.). «Веб-оболочки – осведомленность об угрозах и руководство» . www.us-cert.gov . Архивировано из оригинала 13 января 2019 года . Проверено 20 декабря 2018 г. В данной статье использован текст из этого источника, находящегося в свободном доступе .

[auto-3] Перейти обратно: Перейти обратно: ^а ^б ^с ^д админ (3 августа 2017 г.). «Что такое веб-оболочка?» . вредоносное ПО.эксперт . Архивировано из оригинала 13 января 2019 года . Проверено 20 декабря 2018 г.

[us-cert.gov1-4] Перейти обратно: Перейти обратно: ^а ^б ^с «Кибердеятельность правительства России, направленная на энергетику и другие критически важные инфраструктурные сектора – US-CERT» . www.us-cert.gov . 16 марта 2018 г. Архивировано из оригинала 20 декабря 2018 г. Проверено 20 декабря 2018 г.

[5] соорганизатор, Макис Мурелатос, инженер по безопасности WordPress на FixMyWPWC в Афинах 2016; Поддержка, WP; Поклонник безопасности; Кайтсерфер, Wannabe (16 октября 2017 г.). «Полное руководство по бэкдор-атакам — что такое бэкдоры WebShell» . fixmywp.com . Архивировано из оригинала 13 января 2019 года . Проверено 20 декабря 2018 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )

[6] Ханнусс, Абдельхаким; Яхиуш, Салима (01 сентября 2021 г.). «Обработка атак через веб-шелл: систематическое картирование и исследование» . Компьютеры и безопасность . 108 : 102366. doi : 10.1016/j.cose.2021.102366 . ISSN 0167-4048 .

[7] «Есть WordPress? Число атак на веб-шелл PHP C99 растёт» . 14 апреля 2016 г. Архивировано из оригинала 29 декабря 2018 г. Проверено 21 декабря 2018 г.

[techcrunch.com-8] Перейти обратно: Перейти обратно: ^а ^б «Взлом Equifax можно было бы «полностью предотвратить», если бы использовались базовые меры безопасности, говорится в докладе Палаты представителей» . 10 декабря 2018 г. Архивировано из оригинала 20 декабря 2018 г. Проверено 21 декабря 2018 г.

[fireeye.com-9] Перейти обратно: Перейти обратно: ^а ^б ^с «Разрушение веб-оболочки China Chopper — Часть I «Разрушение веб-оболочки China Chopper — Часть I» . Огненный Глаз . Архивировано из оригинала 13 января 2019 года . Проверено 20 декабря 2018 г.

[10] «Системы обнаружения и предотвращения вторжений» . Архивировано из оригинала 13 января 2019 г. Проверено 22 декабря 2018 г.

[11] LightCyber, Кейси Кросс, старший менеджер по продукту (16 июня 2016 г.). «Пять признаков того, что злоумышленник уже в вашей сети» . Сетевой мир . Архивировано из оригинала 13 января 2019 года . Проверено 22 декабря 2018 г. {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )

[12] «Анализ трафика для сетевой безопасности: два подхода к выходу за рамки данных о сетевых потоках» . 15 сентября 2016 г. Архивировано из оригинала 14 ноября 2016 г. Проверено 22 декабря 2018 г.

[13] «Хакеры скрывают вход в веб-оболочку на поддельных страницах ошибок HTTP» . Мигающий компьютер . Архивировано из оригинала 26 июля 2018 года . Проверено 21 декабря 2018 г.

[14] «Хакеры скрывают вход в веб-оболочку на поддельных страницах ошибок HTTP» . УгрозаВороны . 24 июля 2018 года. Архивировано из оригинала 13 января 2019 года . Проверено 17 февраля 2019 г.

[15] «Хакеры скрывают вход в веб-оболочку на поддельных страницах ошибок HTTP» . cyware.com . Архивировано из оригинала 13 января 2019 года . Проверено 22 декабря 2018 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

v т и Информационная безопасность
Related security categories	Computer security Automotive security Cybercrime Cybersex trafficking Computer fraud Cybergeddon Cyberterrorism Cyberwarfare Electromagnetic warfare Information warfare Internet security Mobile security Network security Copy protection Digital rights management	vectorial version
Threats	Adware Advanced persistent threat Arbitrary code execution Backdoors Hardware backdoors Code injection Crimeware Cross-site scripting Cross-site leaks DOM clobbering History sniffing Cryptojacking Botnets Data breach Drive-by download Browser Helper Objects Viruses Data scraping Denial-of-service attack Eavesdropping Email fraud Email spoofing Exploits Hacktivism Insecure direct object reference Keystroke loggers Logic bombs Time bombs Fork bombs Zip bombs Fraudulent dialers Malware Payload Phishing Voice Polymorphic engine Privilege escalation Ransomware Rootkits Scareware Shellcode Spamming Social engineering Spyware Software bugs Trojan horses Hardware Trojans Remote access trojans Vulnerability Web shells Wiper Worms SQL injection Rogue security software Zombie
Defenses	Application security Secure coding Secure by default Secure by design Misuse case Computer access control Authentication Multi-factor authentication Authorization Computer security software Antivirus software Security-focused operating system Data-centric security Obfuscation (software) Data masking Encryption Firewall Intrusion detection system Host-based intrusion detection system (HIDS) Anomaly detection Security information and event management (SIEM) Mobile secure gateway Runtime application self-protection Site isolation

v т и вредоносного ПО Темы
Infectious malware	Comparison of computer viruses Computer virus Computer worm List of computer worms Timeline of computer viruses and worms
Concealment	Backdoor Clickjacking Man-in-the-browser Man-in-the-middle Rootkit Trojan horse Zombie computer
Malware for profit	Adware Botnet Crimeware Fleeceware Form grabbing Fraudulent dialer Malbot Keystroke logging Privacy-invasive software Ransomware Rogue security software Scareware Spyware Web threats
By operating system	Android malware Classic Mac OS viruses iOS malware Linux malware MacOS malware Macro virus Mobile malware Palm OS viruses HyperCard viruses
Protection	Anti-keylogger Antivirus software Browser security Data loss prevention software Defensive computing Firewall Internet security Intrusion detection system Mobile security Network security
Countermeasures	Computer and network surveillance Honeypot Operation: Bot Roast