이것은 웹쉘 오픈 소스 프로젝트https://github.com/xl7dev/WebShell grCod/webshells에서 새 릴리스에 대한 알림을 받을 예정입니까? 그림 3. 설치 후 ASP.NET 페이지 내에서 C#로 작성된 웹 셸은 IIS(인터넷 정보 서비스) 프로세스 w3wp.exe에서 만든 프로세스를 분석하여 웹 셸 활동을 검색할 수 있습니다. 경고 스크린샷(net.exe, ping.exe, systeminfo.exe 및 hostname.exe)에서 확인된 것과 같은 정찰 활동과 관련된 프로세스 의 시퀀스는 의심으로 처리되어야 합니다. OWA와 같은 웹 응용 프로그램은 잘 정의된 응용 프로그램 풀에서 실행됩니다. 일반적으로 `MSExchangeOWAAppPool`과 같은 프로세스를 실행하지 않는 응용 프로그램 풀에서 실행되는 w3wp.exe에 의한 모든 cmd.exe 프로세스 실행은 비정상적인 것으로 간주되고 잠재적으로 악의적인 것으로 간주되어야 합니다. 공격자는 다른 시스템에 추가 웹 셸과 OWA(Outlook 웹 액세스) 서버에 DLL 백도어를 설치했습니다. 서버에 계속 유지하기 위해 백도어 임플란트는 서비스 또는 Exchange 전송 에이전트로 등록되어 들어오는 모든 전자 메일에 액세스하고 가로채 중요한 정보를 노출할 수 있었습니다. 백도어는 또한 추가 검색 활동뿐만 아니라 다른 악성 코드 페이로드를 다운로드 수행했습니다. 또한 공격자는 DLL 백도어가 명령으로 해석하는 특수 이메일을 보냈습니다. 그림 2.
악성 JSP 코드와 특별히 만들어진 이미지 파일 아무 일이 발생하지 않은 경우, GitHub 바탕 화면을 다운로드하고 다시 시도. GitHub에는 4천만 명 이상의 개발자가 협력하여 코드를 호스팅 및 검토하고 프로젝트를 관리하고 소프트웨어를 함께 빌드합니다. 이 사례는 다양한 분야의 여러 조직에 영향을 미치는 웹 셸 공격의 점점 더 일반적인 사건 중 하나입니다. 웹 셸은 공격자가 웹 서버에 이식하여 서버 기능에 원격 액세스 및 코드 실행을 제공하는 일반적인 웹 개발 프로그래밍 언어(예: ASP, PHP, JSP)로 작성되는 악성 코드입니다. 웹 셸을 사용하면 사용자가 명령을 실행하고 웹 서버에서 데이터를 도용하거나 서버를 발사대로 사용하여 영향을 받는 조직에 대한 추가 공격을 할 수 있습니다. 웹 쉘 공격은 광범위한 산업에 영향을 미쳤습니다. 위에서 언급한 공공 부문의 조직은 가장 일반적인 대상 분야 중 하나입니다. . Microsoft Defender ATP는 스크립트 파일 쓰기 및 프로세스 실행을 분석하여 웹 셸 설치 및 사후 손상 작업을 나타내는 이러한 동작을 노출합니다. 이러한 활동에 대한 경고가 나오면 보안 운영 팀은 Microsoft Defender ATP의 풍부한 기능을 사용하여 웹 셸 공격을 조사하고 해결할 수 있습니다. 웹 서버에 업로드된 특수 제작된 파일 내에서 이 악의적인 JSP 코드를 확인했습니다: 웹 셸은 다각적인 위협이기 때문에 기업은 여러 공격 표면에 대한 포괄적인 방어를 구축해야 합니다.
Microsoft 위협 보호는 ID, 끝점, 전자 메일 및 데이터, 앱 및 인프라에 대한 통합 보호 기능을 제공합니다. 고객은 Microsoft 서비스 전반에 걸쳐 신호 공유를 통해 업계 최고의 광학 및 보안 기술을 활용하여 웹 셸 및 기타 위협에 대처할 수 있습니다. 대부분의 보안 문제와 마찬가지로 예방은 매우 중요합니다. 조직은 이러한 예방 조치를 취하여 웹 셸 공격에 대한 시스템을 강화할 수 있습니다. 기능은 서버 구성에 따라 다를 수 있습니다. 한편, KRYPTON 그룹은 ASP.NET 페이지 인 그림 4 내에서 C #로 작성된 맞춤형 웹 셸을 사용합니다. 웹 셸 공격과 관련된 샘플 Microsoft Defender ATP 경고는 불행히도 매달 Microsoft Defender 고급 위협 보호(ATP)가 평균 46,000대의 고유한 컴퓨터에서 평균 77,000개의 웹 셸 및 관련 아티팩트를 감지한다는 점을 감안할 때 이러한 격차가 광범위하게 나타나는 것으로 보입니다. 웹 셸이 웹 서버에 성공적으로 삽입되면 원격 공격자가 웹 서버에서 다양한 작업을 수행할 수 있습니다. 웹 셸은 데이터를 훔치고, 급수 구멍 공격을 지속하며, 다른 악의적인 명령을 실행하여 추가적인 손상이 가능합니다.