无线安全团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > 无线安全 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

Web Shell攻击：net.exe侦察，nbstat.exe扫描其他目标系统，最后使用PsExec横向移动

文章来源：重庆网络安全围观次数：

分享到:

摘要：攻击者可以在Web服务器上的多个文件夹中部署Webshell，从而导致服务帐户和域管理帐户受到攻击。攻击者使用net exe进行侦察，使用nbstat exe扫描其他目标系统，最后使用PsExec横向移动。

服务器配置错误，攻击者可以在Web服务器上的多个文件夹中部署Webshell，从而导致服务帐户和域管理帐户受到攻击。攻击者使用net.exe进行侦察，使用nbstat.exe扫描其他目标系统，最后使用PsExec横向移动。

攻击者在其他系统上安装了附加的Web Shell，并在OutlookWeb Access（OWA）服务器上安装了DLL后门。为了对服务器进行持久控制，后门将其自身注册为服务或Exchange传输代理，从而允许其访问和拦截所有传入和传出的电子邮件，并收集敏感信息。后门还执行其他攻击命令并下载恶意负载。此外，攻击者还发送了一封特殊电子邮件，DLL后门将其解释为命令。

此案例是影响各个部门中多个组织的常见Web攻击之一。常见的Web开发编程语言（例如ASP，PHP，JSP）用于编写恶意代码，攻击者可以将其远程访问并执行代码，攻击者将其植入Web服务器，并通过以下方法从Web服务器窃取数据执行命令。

当前情况下的Web Shell攻击

袭击中观察到包括ZINC，KRYPTON和GALLIUM在内的多个shell。为了植入webshell，攻击者利用了Internet上暴露的Web服务器安全漏洞，通常是Web应用程序中的漏洞，例如CVE-2019-0604或CVE-2019-16759。

在调查这些类型的攻击时，发现文件中的Web Shell试图隐藏或与Web服务器中的合法文件名混合，例如：

index.aspx

fonts.aspx

css.aspx

global.aspx

default.php

function.php

Fileuploader.php

help.js

write.jsp

31.jsp

China Chopper是最常用的Web Shell之一。常见示例如下：

在服务器上发现的jsp恶意代码如下：

用PHP语言编写的China Chopper变体：

KRYPTON在ASP.NET页中使用C＃编写的Web Shell：

一旦将Web Shell成功插入Web服务器，攻击者就可以在Web服务器上执行各种任务。Webshell程序可以窃取数据，利用攻击并运行其他恶意命令来进一步破坏。

Web shell影响了许多行业，公共部门组织是最常见的目标部门之一。攻击者除了利用Web应用程序或Web服务器中的漏洞外，还利用服务器中的其他漏洞。例如，缺少最新的安全更新，防病毒工具，网络保护，安全配置等。攻击通常发生在周末或休息时间，此时可能无法立即检测到攻击并做出响应。这些漏洞非常普遍，Microsoft（ATP）每个月都会在46,000台不同的计算机上平均检测到77,000个与Webshell相关的文件。

检测与预防

由于webshell是一个多方面的威胁，因此组织应该从多个攻击面构建全面的防御：身份验证，终结点，电子邮件和数据，应用程序和基础结构等等。

了解面向Internet的服务器是检测和解决Web威胁的关键。可以通过监视Web应用程序目录中文件的写入来检测Web Shell的安装。安装后，诸如Outlook Web Access（OWA）之类的应用程序很少更改，因此应将其写入这些应用程序目录中。

通过分析由信息服务（IIS）w3wp.exe创建的进程来检测webshell活动。与侦察活动相关的进程序列，例如net.exe，ping.exe，systeminfo.exe和hostname.exe的序列。 w3wp.exe在通常不执行诸如“ MSExchangeOWAAppPool”进程之类的进程的应用程序池中运行的任何cmd.exe进程都应被视为异常并且可能是恶意的。