Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

АНБ опубликовало инструменты для выявления web-оболочек на серверах

24/04/20

NSAАгентство национальной безопасности США и Управление радиотехнической обороны Австралии опубликовали совместное уведомление безопасности, в котором рекомендовали компаниям провести аудит своих внутренних и подключенных к интернету серверов на предмет наличия на них web-оболочек. Регуляторы также предоставили бесплатные инструменты, позволяющие системным администраторам выявлять и обезвреживать вредоносные web-оболочки.

На сегодняшний день web-оболочки являются одной из самых популярных форм вредоносного ПО. Они представляют собой вредоносные программы или скрипты, устанавливаемые хакерами на взломанных серверах. Web-оболочки обеспечивает злоумышленникам визуальный интерфейс, позволяющий взаимодействовать со взломанным сервером и его файловой системой. Большинство web-оболочек оснащены функциями переименования, копирования, удаления, редактирования и загрузки файлов на сервер. Кроме того, их можно использовать для изменения разрешений для файлов и директорий, архивирования и выгрузки (похищения) данных с сервера.

На подключенные к интернету серверы хакеры устанавливают web-оболочки через уязвимости в них или в web-приложениях (системах управления контентом (CMS), CMS-плагинах, CMS-темах, CRM-системах, внутренних корпоративных сетях, корпоративных приложениях и пр.).

Однако далеко не все компании понимают опасность присутствия на их серверах вредоносных web-оболочек, выполняющих функции бэкдора и требующих принятия самых серьезных мер. В связи с этим Агентство национальной безопасности США и Управление радиотехнической обороны Австралии выпустили совместный отчет, в котором обратили внимание компаний на этот обычно упускаемый из виду вектор атак.

«Web-оболочки могут играть роль постоянных бэкдоров или релейных узлов для маршрутизации команд злоумышленников на другие системы. Зачастую атакующие связывают web-оболочки на нескольких скомпрометированных системах для маршрутизации трафика по сетям, например, от подключенных к интернету систем к внутренним сетям», - сообщается в отчете.

Опубликованные регуляторами инструменты для выявления и обезвреживания вредоносных web-оболочек включают: Splunk-запросы для обнаружения аномальных URL-адресов в web-трафике, инструмент для анализа журналов Internet Information Services (IIS), сигнатуры сетевого трафика для распространенных web-оболочек, инструкции для выявления аномальных потоков трафика и вызовов процессов в Sysmon или с использованием Auditd и пр. В отчете также представлен список часто эксплуатируемых уязвимостей в web-приложениях и популярных инструментах, в том числе в Microsoft SharePoint, Microsoft Exchange, Citrix, Atlassian Confluence, WordPress, Zoho ManageEngine и Adobe ColdFusion.

Темы:КибербезопасностьАНБОтрасльАвстралия
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...