Спeцслужбы СШA и Aвстрaлии привлeкли внимaниe кoмпaний к oбычнo упускaeмoму изо виду вeктoру aтaк чeрeз web-oбoлoчки.
Aгeнтствo нaциoнaльнoй бeзoпaснoсти СШA и Упрaвлeниe рaдиoтexничeскoй oбoрoны Aвстрaлии oпубликoвaли сoвмeстнoe увeдoмлeниe бeзoпaснoсти, в кoтoрoм рекомендовали компаниям проложить аудит своих внутренних и подключенных к интернету серверов бери предмет наличия для них web-оболочек. Регуляторы в свою очередь предоставили бесплатные инструменты, позволяющие системным администраторам раскрывать и обезвреживать вредоносные web-оболочки.
Сверху сегодняшний день web-оболочки являются одной с самых популярных форм вредоносного После. Они представляют внешне вредоносные программы или — или скрипты, устанавливаемые хакерами получай взломанных серверах. Web-оболочки обеспечивает злоумышленникам зрительный интерфейс, позволяющий взаимодействовать со взломанным сервером и его файловой системой. Относительная web-оболочек оснащены функциями переименования, копирования, удаления, редактирования и загрузки файлов бери сервер. Кроме того, их годится. Ant. нельзя использовать для изменения разрешений чтобы файлов и директорий, архивирования и выгрузки (похищения) данных с сервера.
В подключенные к интернету серверы хакеры устанавливают web-оболочки сквозь уязвимости в них аль в web-приложениях (системах управления контентом (CMS), CMS-плагинах, CMS-темах, CRM-системах, внутренних корпоративных сетях, корпоративных приложениях и пр.).
Тем не менее далеко не полно компании понимают быть (под дамокловым мечом присутствия на их серверах вредоносных web-оболочек, выполняющих функции бэкдора и требующих принятия самых серьезных мер. В рука с этим Агентство национальной безопасности США и Правление радиотехнической обороны Австралии выпустили коллективный отчет, в котором обратили подчеркнуть что компаний на текущий обычно упускаемый изо виду вектор атак.
«Web-оболочки могут перекидываться роль постоянных бэкдоров возможно ли релейных узлов исполнение) маршрутизации команд злоумышленников нате другие системы. То и дело атакующие связывают web-оболочки бери нескольких скомпрометированных системах чтобы маршрутизации трафика за сетям, например, ото подключенных к интернету систем к внутренним сетям», – сообщается в отчете.
Опубликованные регуляторами инструменты на выявления и обезвреживания вредоносных web-оболочек включают: Splunk-требования для обнаружения аномальных URL-адресов в web-трафике, балалайка для анализа журналов Internet Information Services (IIS), сигнатуры сетевого трафика к распространенных web-оболочек, инструкции с целью выявления аномальных потоков трафика и вызовов процессов в Sysmon разве с использованием Auditd и пр. В отчете как и представлен список что эксплуатируемых уязвимостей в web-приложениях и популярных инструментах, в томишко числе в Microsoft SharePoint, Microsoft Exchange, Citrix, Atlassian Confluence, WordPress, Zoho ManageEngine и Adobe ColdFusion.
Ссылк