Оболочки нет! Тенденции и смягчение последствий веб-оболочки противника (часть 1)
- Сводка анализа Несанкционированное использование открытых источников с веб-оболочками более 15 лет....
- тенденции
- Анализ кода
- обнаружение
- Заключение
Сводка анализа - Несанкционированное использование открытых источников с веб-оболочками более 15 лет.
- Веб-оболочки - любимая тема на китайском языке.
- Лень актера приводит к повторному использованию кода, но недостаточно для предупреждения о функциях или строках.
- b374k, b374k r3c0d3d и WSO 2.1 - явные фавориты с открытым исходным кодом (по упоминанию).
- Статические подписи, которые фиксируют специфичность или уникальность в веб-оболочке, полезны лишь в незначительной степени. Поведение веб-оболочки более высокого уровня - это то, на чем стоит сосредоточиться для долгосрочного, масштабного и значимого обнаружения.
Инциденты занимались веб-оболочками с момента появления Интернета, и возможности противников продолжают расти.
Фишинг-фишинг и атаки типа «сквозь дыру» могут быть приоритетными для защитников, но уязвимости веб-приложений и возникающие в результате размещения веб-оболочек являются привлекательным механизмом «первого варианта» для поддержания точки опоры в сети жертвы при одновременном углублении доступа и данных. ,
Мы представляем следующий учебник по веб-оболочке и расскажем о последних событиях в области подпольной экономики в первой части этой серии из двух частей.
Фон
Веб-оболочка - это код, который интерпретируется и запускается демоном HTTP-сервера («веб-сервер») и предназначен для предоставления графического интерфейса для удаленного доступа к серверу, его файловой системе и часто к базовой операционной системе.
Веб-серверы под управлением Microsoft IIS в Windows обычно используют код Active Server Page (ASP), в то время как Apache и / или Nginx, работающие в Linux / * BSD, часто являются получателями PHP или Perl-кода. Веб-оболочки создаются на многих разных языках (Java, Python и т. Д.), Единственное требование заключается в том, что предполагаемый сервер должен иметь возможность выполнять инструкции кода по своему усмотрению.
15 строк PHP для записи в файл и поддержки доступа.
Когда код веб-оболочки вызывается удаленным пользователем, вызывающим файл (обычно в веб-браузере), появляется панель управления (своего рода). Веб-оболочки по своей природе не являются вредоносными, но лишь немногие системные администраторы предпочитают создавать веб-интерфейс для удаленного управления. Таким образом, большая часть кода веб-оболочки создается и поддерживается злоумышленниками. Термин «оболочка», очевидно, подразумевает доступ к командной строке в стиле Unix, предоставляемый через веб-сервер.
Бдительность защиты с одним веб-сервером или даже несколькими веб-серверами достижима, но когда предприятия используют сотни веб-серверов с различными операционными системами, приложениями и локальными пользователями, постоянно добавляющими и редактирующими файлы, постоянно меняющаяся сложность делает вредоносную веб-оболочку обнаружение крайне сложно.
Билл Пауэлл из компании «Платежное программное обеспечение» часто сталкивается с веб-оболочками на серверах-жертвах во время расследований и расследований инцидентов. Билл говорит: «… из образцов, которые я извлек, от 20% до 25% были обнаружены антивирусными / вредоносными решениями. Если в одной данной системе я могу найти одну или две статьи вредоносного ПО (вредоносные программы, не относящиеся к веб-оболочке), наименьшее количество веб-оболочек, обнаруженных мной в системе, составило одиннадцать, а наибольшее - почти тридцать в одной системе. в одной среде ». Очевидно, что предприятия должны быть обеспокоены своей стратегией обнаружения веб-оболочек.
Комментарии от сирийской Shell.
Веб-оболочки магически не появляются на серверах.
Скорее, злоумышленники должны сначала определить уязвимость, которую можно использовать. OWASP десятка Уязвимости являются хорошей отправной точкой, такие как поиск возможностей SQL-инъекций (SQLi) или ошибки проверки входных данных в PHP-файлах (RFI). Более продвинутые тактики включают поиск новых уязвимостей в системах управления контентом (CMS), таких как Joomla, Drupal и WordPress, а также в сотнях соответствующих плагинов.
Часто сам PHP является источником разочарования, о чем свидетельствует недавнее объявление о методологии эксплойтов с использованием Новая функциональность PHP7 OPcache ,
В конечном счете, эта полоса является относительно низкой, поскольку злоумышленники должны иметь возможность только загрузить свой файл веб-оболочки в доступный для записи каталог или изменить существующий файл на веб-сервере.
На китайскоязычных форумах обсуждается последняя уязвимость PHP7.
В 2016 году даже самые технически сложные противники могут обнаружить уязвимые веб-серверы за считанные минуты с помощью информации из открытых источников и доркинг , Криминальные форумы способствуют обмену передовым опытом, поэтому поиск и использование уязвимых общедоступных веб-серверов - дело времени.
Трехлетнее сравнение ссылок на SQLi и RFI в Интернете по категориям в «Записанном будущем».
Результаты Dorking для уязвимых веб-серверов отображаются в Recorded Future.
Отображение дорогих результатов в Записанном будущем.
После того как несанкционированный доступ к веб-серверу жертвы завершен, субъект добавляет код в существующий файл на сервере и / или загружает новый файл, содержащий код веб-оболочки. На приведенном ниже снимке экрана веб-оболочки C99 показан типичный пользовательский набор параметров / возможностей после перехода актера к вновь созданному файлу PHP на целевом веб-сервере.
Актер рекламирует оболочку C99 для использования в фишинговых кампаниях и / или других схемах мошенничества.
Как только веб-оболочка станет доступной, субъект может использовать ее для массива вредоносных действий, включая некоторые из следующих:
- Поиск учетных данных
- Повышение привилегий
- Определение дополнительных ресурсов в целевой сети
- Нахождение баз данных и эксфильтрация данных
- Отказ в обслуживании
- Перенаправление посетителей сайта на кампанию «водопой»
- Установка прокси для будущей анонимности
- Долгосрочное сохранение на сервере
Веб-сервер становится ценным ресурсом для достижения целей национального государства и / или повышения уровня преступной монетизации пешеходов.
тенденции
Трехлетний обзор сущностей веб-оболочки (сущность в Recorded Future - это текстовая ссылка, которая распознается с помощью обработки естественного языка, в данном случае как вредоносного компонента) на форумах, сайтах вставки и репозиториях кода по языкам, показывает, что английский язык и китайский язык является наиболее плодотворным языком для упоминания в веб-оболочке.
Хотя количество веб-источников на каждом языке различается, и, несмотря на нормализацию, все еще ясно, что англоговорящие и говорящие на китайском языке люди наиболее активно упоминают веб-оболочки в общедоступной сети.
Веб-оболочка упоминает - испанский и французский.
Веб-оболочка упоминает - арабский язык против фарси.
Веб-оболочка упоминает - китайский против русского.
Веб-оболочка упоминает - английский.
Анализ автоматической категоризации и частоты упоминаний семейства веб-оболочек в Recorded Future показывает, что b374k, b374k r3c0d3d и WSO 2.1 - явные фавориты с открытым исходным кодом.
Автоматическая категоризация веб-оболочек с помощью обработки естественного языка (NLP).
Изучение результатов показывает веб-источники, где актеры загружают веб-оболочки и открывают источники долгосрочного развития, как показано ниже.
Оповещение о ссылках веб-оболочки в Recorded Future.
Семейства веб-оболочек отличаются такими функциями, как скрытая аутентификация, обратное соединение и обман - в виде страницы с ошибкой HTTP 404. Если человек попадает в веб-оболочку, не удовлетворяя некоторой условной логике, такой как использование правильной страницы реферера и / или пользовательского агента, обнаружение веб-оболочки становится более трудным, особенно для непосвященного системного администратора.
Встраивание функциональности «страница ошибки 404» в веб-оболочку.
Ссылка: hxxp: //nilsonlombardi.com.br/ing/fotos/shell.php
Упоминается, что веб-оболочка от orb (WSO) продолжает оставаться самой плодовитой веб-оболочкой с открытым исходным кодом, главным образом потому, что варианты публикуются для вставки сайтов еженедельно.
Недавние ссылки на WSO в Записанном Будущем.
Совместное использование веб-оболочки WSO.
Анализ кода
Обычной практикой среди пользователей веб-оболочки является запутывание файла оболочки, чтобы сделать обнаружение в процессе передачи и хранения более сложным для оперативных защитников.
Чтобы подумать о полезных методологиях обнаружения, мы рассмотрели несколько репозиториев веб-оболочки с открытым исходным кодом на предмет общности кода. Следующие репозитории содержат запутанные и не запутанные веб-оболочки:
Объединение трех репозиториев в один каталог приводит к примерно 260 де-обфусцированным файлам PHP, 99 обфусцированным файлам PHP и объединенным файлам 10 ASP, ASPX, JSP и Perl. Модуль коллекций Python впоследствии используется для рекурсивного сравнения соответствующих файлов в указанном каталоге.
Результаты для каталога, содержащего запутанные PHP-файлы, как и ожидалось, мало интересны, за исключением использования FOPO (Free Online PHP Obfuscator) старыми семействами веб-оболочек. Приведенные ниже результаты содержат общий текстовый фрагмент с последующим подсчетом частоты (отредактировано для краткости и актуальности).
Результаты сценариев Python для необфусцированных PHP-файлов содержат больше общности, связанной с конкретными функциями PHP, что может быть полезно для обнаружения на основе строк в некоторых случаях, но нет ничего уникального во всех семействах. Например, функция @set_magic_quotes_runtime присутствует только в 18,5% выборок и удалена в PHP7.
В любом случае, все три из перечисленных ниже функций PHP могут использоваться в легитимных приложениях PHP, что делает обнаружение нереальным без большого количества ложных срабатываний.
обнаружение
Мошеннические стратегии обнаружения и предотвращения веб-оболочек довольно просты, когда в самоуправляемой сети содержатся однозначные веб-серверы, обычно используемые в малых и средних предприятиях. Специалисты по безопасности могут управлять инвентаризацией пользователей, правами доступа и законными файлами / каталогами.
Кроме того, целесообразно применять лучшие практики веб-сервера на постоянной основе.
Форум на китайском языке повторно публикует рекомендации по безопасности веб-сервера от Sucuri ,
На предприятии это другая история.
Часто предприятия управляют двухзначными или даже трехзначными веб-серверами. Ситуация со временем усложняется, поскольку появляются дополнительные веб-серверы, работающие под управлением разнородных операционных систем, веб-демонов, прикладного программного обеспечения, такого как системы управления контентом (Joomla, WordPress, Drupal и т. Д.), И исторически уязвимых плагинов.
Часто отсутствует центральная ответственность за администрирование сервера, не говоря уже о безопасности. Права доступа не обязательно связаны с центральным механизмом аутентификации, таким как Active Directory, и владельцы контента совершенно не знают, какие файлы принадлежат веб-серверу.
Эти типы сред позволяют веб-оболочкам оставаться незамеченными, что часто приводит к множественному размещению веб-оболочек несколькими противниками на одном сервере.
Важнейшим элементом любой стратегии предотвращения безопасности является «Познай себя», а девиз вдвойне важен для веб-серверов. Помимо самообнаружения, комбинация методологий анализа сети и сети также поможет обнаружению.
В частности, программное обеспечение для обеспечения безопасности информации и управления событиями (SIEM) может использоваться для анализа обычных подозрений на аномалии агента пользователя HTTP или реферера. Крупномасштабный мониторинг целостности файлов может быть реализован на веб-серверах, но всегда есть пределы эффективности стратегии.
На предприятиях масштаб веб-серверов и количество ежедневных изменений в каталогах / файлах, вносимых несколькими администраторами и владельцами контента, делают мониторинг целостности файлов нецелесообразным. Мониторинг сети затруднен, поскольку HTTP-трафик имеет тенденцию демонстрировать длинный хвост результатов для любых конкретных критериев поиска, что приводит к неоптимальным отношениям шума к сигналу.
Обнаружение веб-оболочки на основе строк нецелесообразно в качестве методологии более высокого уровня, о чем свидетельствуют сотни Yara правила, касающиеся специфичности и уникальности отдельного файла или семейства.
Попытка оповещения о функциях кодирования и транспонирования неэффективна, потому что всегда есть менее очевидный способ вызова функций, которые будут избегать обнаружения.
Рассмотрим типичный пример веб-оболочки, доставляемой в виде строки, которая затем оценивается веб-сервером с использованием вездесущей функции PHP «eval» для выполнения кода после успешного декодирования кодировки Base64, ротации строк и сжатия.
Знающие противники понимают, что для обхода универсальных межсетевых экранов веб-приложений (WAF) или других сетевых датчиков требуется умение оценивать строку веб-оболочки. Несколько примеров вызова креативных функций из Интернета приведены ниже.
Любая технология, использующая сигнатуры для обнаружения, будет умеренно эффективной. Поскольку веб-оболочка сама по себе не обладает вредоносными характеристиками (особенно когда веб-оболочки используются в прямом направлении, без обратного соединения или маяка к контроллеру), именно поведение злоумышленника остается профилировать для точек дросселирования более высокого уровня. Проверка подлинности веб-оболочки является одной из таких полезных тактик противника.
Большинство веб-оболочек предоставляют опции для аутентификации пользователей; злоумышленники используют аутентификацию в первую очередь для того, чтобы другие участники не могли контролировать веб-оболочку. Поиск предыдущих необфусцированных PHP-файлов возвращает почти универсальные результаты для некоторой комбинации переменных: user , auth , login и / или pass .
Изменение пароля веб-оболочки b374k - https://github.com/b374k/b374k.
Все эти веб-оболочки используют базовую, блочную или дайджест-аутентификацию HTTP. Это дает реальную возможность применить методологию высокой точности для анализа HTTP-трафика. Журналы веб-прокси особенно полезны для идентификации сеансов HTTP-аутентификации.
В дополнение к отслеживанию активности веб-оболочки, оповещение при базовой аутентификации HTTP идентифицирует внутренние приложения, которые должны быть изменены, чтобы включать SSL или иначе отброшены и заблокированы от будущей установки. Это также возможность предупредить сотрудников об опасности использования определенных небезопасных внешних веб-сайтов.
Bro Это бесплатный инструмент, который может легко перехватить всю HTTP-аутентификацию в сети, поскольку он включает парсеры протоколов по умолчанию, которые создают журналы (например, ~ / bro / http.log) на основе пользовательских правил. Есть ряд проверочные правила для оповещения об успешной аутентификации HTTP Это хорошие шаблоны для создания правила, адаптированного к конкретной корпоративной среде.
Если корпоративные веб-серверы используют центральный пользовательский репозиторий (например, Active Directory) для политик доступа, тогда имена пользователей могут быть удалены из журналов HTTP bro и сравниваться с известным списком существующих (авторизованных) пользователей ( извлечено с помощью PowerShell ). Необходим дальнейший анализ всякий раз, когда имена пользователей обнаруживаются в журналах Bro (из-за успешной аутентификации HTTP), и вдвойне, когда те же имена пользователей не обнаруживаются в списке результатов Active Directory.
Конечно, не каждая веб-оболочка использует поле имени пользователя, и некоторые злонамеренные пользователи веб-оболочки могут обходить аутентификацию все вместе, как показано ниже.
Для обнаружения веб-оболочки не существует «серебряных пуль», но многоплановая стратегия непрерывной осведомленности об инфраструктуре, усиления защиты серверов и использования интеллектуальных угроз для профилирования поведения сетей злоумышленников является выигрышным рецептом для постоянного предотвращения веб-оболочек.
Заключение
Информация об угрозах в реальном времени, полученная из Интернета является мощной возможностью для выявления новых тенденций в использовании противником веб-оболочек. Веб-серверы продолжают оставаться привлекательной целью для решения задач противника, а веб-оболочки выполняют целый ряд задач, обеспечивая при этом постоянство в сети жертвы.
В настоящее время производные веб-оболочек WSO и b374k являются наиболее часто упоминаемыми веб-оболочками с открытым исходным кодом.
Анализ более 250 необъяснимых файлов веб-оболочки PHP возвращает мало общего и, следовательно, ограниченные возможности для широкого обнаружения семейных строк. Вместо этого поведение пользователя веб-оболочки открывает возможность отследить размещение веб-оболочки в сети посредством успешной базовой HTTP-аутентификации.
Предотвращение постоянных веб-оболочек требует многогранной стратегии, которая начинается с углубленного изучения веб-серверов с внутренним управлением и их соответствующего содержимого. Опытные защитники описывают поведение противника и создают оперативные средства защиты высокого уровня, способные обнаруживать широкую активность веб-оболочки.
Вторая часть будет включать в себя анализ CKnife, новой китайской веб-оболочки, вдохновленной China Chopper и реализующей новые функции. Оставайтесь в курсе!
Похожие
Запретить запуск приложений Android в фоновом режимеСреди наиболее востребованных и самых популярных инструментов для Android тот, который почти у всех есть на своих устройствах, - это тот, который не даст приложениям работать в фоновом режиме. Почему кто-то хочет остановить приложение в фоновом режиме? Потому что иногда приложения не ограничиваются тем, что они должны делать. Хорошее приложение будет работать в фоновом режиме для синхронизации, предоставляя вам данные о местоположении или что бы то ни было, что они были сделаны, но некоторые Lutorrent - Utorrent для Linux
Lutorrent - Utorrent для Linux Обновлено: 4 октября 2011 г. Я заранее прошу прощения за неправильное написание μ, но тогда большинство людей будут искать и писать utorrent. Во всяком случае, Utorrent вероятно, самый популярный клиент BitTorrent в западном полушарии. Это быстрое, легкое и простое в использовании, именно то, что вам нужно и ожидать от однорангового программного обеспечения для обмена. Есть только одна проблема. Инструкция для голоса клиента
Слушаете ли вы голос своего клиента, проводя опросы удовлетворенности? Отлично! Однако одного исследования недостаточно. Суть в том, чтобы получить от них как можно больше информации, особенно о том, что клиенты оценивают хуже всего и какие области деятельности компании терпят неудачу. Веб-инструмент позволяет отправлять уведомления, когда ваши продукты или услуги оцениваются негативно во время исследования. Это позволяет закрыть так называемый небольшая петля, то есть позволяет конкретному Добавление карт в приложение Android с помощью сервисов Google Play
... ствие в новое или незнакомое место обычно требовало, чтобы вы носили с собой местную карту и / или спрашивали у местных жителей указания. Заблудиться становится делом прошлого, так как мы можем удобно носить в наших карманах карту не только всей планеты, но и карту, которая покажет вам, где вы находитесь, укажет направление, куда вы хотите отправиться, предполагаемое время потребуется, чтобы добраться туда, позволит вам отмечать достопримечательности и сохранять их для дальнейшего использования, Мобильная связь в Австрии :: Storinka.at
Когда приезжаешь в новую страну, то необходимо определиться, мобильный оператор / тариф тебе больше подойдет. В начале твоего пребывания в Австрии необходимо решать немало дел, где без телефона просто не обойтись. Австрийский рынок мобильной связи является одним из самых и самых дешевых в ЕС, поэтому выбор - достаточно широк. Huawei Freebuds в тесте: AirPods, это ты?
Freebuds Huawei явно вдохновлены Apple AirPods. Но обеспечивают ли беспроводные наушники Bluetooth такой же уровень комфорта? А что со звуком? Наш тест предоставляет информацию. Не секрет, что производители в индустрии высоких технологий любят «вдохновляться» успешными идеями. Популярным источником такого вдохновения являются продукты Apple. Будь то iPhone, iPad или MacBook - большая часть того, что группа из Купертино выводит на рынок, быстро завоевывает Топ 10 бесплатных способов сохранить веб-страницу в формате PDF
... более привлекательно и работает быстрее, чем IE. Хотя ключевые функции практически одинаковы, включая функцию сохранения страницы в PDF-файл. Единственное отличие состоит в том, что в Edge вам нужно нажать «Дополнительно», а затем выбрать «Печать» и выбрать «Microsoft Print to PDF» из списка принтеров. Файл PDF будет создан мгновенно. После этого все, что вам нужно сделать, это нажать «Печать», а затем сохранить файл в любую папку, которую вы предпочитаете. Почему поляки редко используют IKE и IKZE?
Несмотря на постепенный рост популярности, учетные записи IKE и IKZE по-прежнему редкость среди поляков. На конец 2018 года общее количество таких счетов составило чуть более 1,7 млн., Из которых только 0,57 млн. Было сделано с начала года. Это означает, что менее одного из шестидесяти граждан нашей страны активно экономят на своем пенсионном счете. Анализ данных, предоставленных Управлением финансового надзора Польши, показывает двойственную картину. С одной стороны, мы наблюдаем растущий Где самый простой способ делать мобильные покупки?
... стве альтернативы настольным ПК или ноутбукам или в качестве «второго экрана» более 85 миллионов европейцев используют свои планшеты или смартфоны для просмотра веб-страниц и покупок в Интернете. Эта тенденция все еще растет. Сравнение цен idealo.pl решили проверить, в какой европейской стране продавцы лучше всего готовы оправдать ожидания мобильных пользователей. С этой целью было рассмотрено Откройте для себя умные веб-сайты и увидите будущее веб-дизайна.
Умные сайты устанавливают новые стандарты веб-дизайна. Они интуитивно понятны, практичны и невероятно эффективны. Может быть, сегодня ваши конкуренты тратят деньги на создание обычного веб-сайта. Создан на основе средневековых идей, используемых в печати. Архаическое оглавление и карты сайта. Если вы посмотрите на современный сайт и прочитаете этот текст, вам повезет больше, чем им. Через мгновение вы узнаете, как поднять планку и предоставить клиентам Steam Store Country - Биллинг - База знаний - Поддержка Steam
Ваш регион магазина устанавливается в зависимости от места вашей первой покупки в Steam. Ваш регион можно найти под Детали учетной записи видно ниже. Во время путешествия магазин Steam покажет цены в вашем регионе, и вы сможете совершать покупки, как и дома. Что если я перееду и захочу
Комментарии
26. Вы уверены, что хотите продолжить подключение (да / нет)?26. Вы уверены, что хотите продолжить подключение (да / нет)? да Предупреждение: постоянно добавлен «localhost» (RSA) в список известных хостов. Linux Ubuntu 2.6.32-22-generic # 33-Ubuntu SMP Ср 28 апреля 13:27:30 UTC 2010 i686 GNU / Linux Ubuntu 10.04 LTS [... snipp ...] hduser @ ubuntu: ~ $ В случае сбоя подключения SSH могут помочь следующие общие советы: Включите отладку с помощью ssh -vvv localhost и подробно изучите ошибку. Проверьте конфигурацию Почему бы не попробовать более простой и быстрый способ его полного удаления?
Почему бы не попробовать более простой и быстрый способ его полного удаления? Если вы хотите сэкономить свое время и силы при удалении Star Trek Online 1.0.009462, или столкнулись с какими-то конкретными проблемами при удалении его в корзину, или даже не уверены, какие файлы или папки принадлежат Star Trek Online 1.0.009462, Вы можете обратиться к профессиональному стороннему деинсталлятору для решения проблем. Здесь MacRemover рекомендуется для выполнения удаления Star Trek Online Что если я проведу время более чем в одной стране?
Что если я проведу время более чем в одной стране? Вы можете обновлять страну магазина каждый раз, когда вы меняете местоположение, если вы используете способ оплаты, соответствующий настройке страны в Steam. Помните, что смена страны магазина / кошелька будет постоянной и не может быть изменена до тех пор, пока вы не вернетесь в другую страну. Если вы часто перемещаетесь между странами, мы предлагаем выбрать страну, в которой вы проживаете. Что если я
Почему кто-то хочет остановить приложение в фоновом режиме?
Huawei Freebuds в тесте: AirPods, это ты?
Но обеспечивают ли беспроводные наушники Bluetooth такой же уровень комфорта?
А что со звуком?
Почему поляки редко используют IKE и IKZE?
26. Вы уверены, что хотите продолжить подключение (да / нет)?
26. Вы уверены, что хотите продолжить подключение (да / нет)?
Почему бы не попробовать более простой и быстрый способ его полного удаления?
Что если я проведу время более чем в одной стране?