微软揭示Web Shell攻击的巨大增长

去年，安装在Web服务器上的恶意Web Shell的数量显着增加，并且在2021年8月至2021年1月之间，Microsoft每个月平均记录了14万次此类威胁。网络外壳在网络分子中越来越流行的主要原因之一是它们的简单性和有效性。对于那些不熟悉的人，Web Shell通常是一小段用Web开发编程语言(例如ASP，PHP和JSP)编写的恶意代码。

然后，攻击者将这些Web Shell植入服务器，以提供对服务器功能的远程访问和代码执行。攻击者可以使用Web Shell在受感染的服务器上运行命令以窃取数据，或将其用作盗窃，横向移动，部署其他有效载荷或进行键盘活动的启动板，同时将其保留在目标组织的网络中。

根据最新的Microsoft 365 Defender数据，到2020年，Web Shell的月平均访问量几乎翻了一番，而该软件巨头在2019年观察到的月平均访问量为77,000个。

在用于创建Web Shell的每种编程语言中，有几种执行任意命令的方法以及多种用于任意攻击者输入的方法。攻击者还可以隐藏用户代理字符串中的指令或在Web服务器/客户端交换期间传递的任何参数。

使得检测Web外壳特别困难的原因是，直到使用完外壳之后，它们内容的上下文才不清楚。检测Web Shell时的另一个挑战是发现创建Web Shell的攻击者的意图，即使看起来无害的脚本也可能因意图而恶意。

攻击者还将任意输入文件上传到服务器的Web目录中，然后从那里上传功能齐全的Web Shell，该Web Shell允许执行任意代码。这些文件上传Web Shell简单，轻便，并且由于无法单独执行命令而经常被忽略。取而代之的是，它们用于将文件(例如功能齐全的Web Shell)上载到组织的Web服务器上。

还已知某些攻击者以不可执行的文件格式(例如媒体文件)隐藏其Web Shell。这些媒体文件在计算机上打开时是无害的，但是当Web浏览器向服务器询问此文件时，然后在服务器端执行恶意代码。

为避免成为Web Shell攻击的受害者，Microsoft建议组织修补面向公众的系统，将防病毒保护扩展到Web服务器，并经常审核和查看Web服务器中的日志。