Websense称WebShell成大规模攻击突破口


        攻击者利用WebShell发动网络攻击已是惯用的手法,随着攻击手法的交替更迭,可以逃避安全检测的攻击技术方法让不法分子在发动攻击时更加得心应手。作为全球领先的Web安全、数据安全、电子邮件安全、移动安全及数据泄露防护(DLP)解决方案提供商,Websense一直致力于为企业提供全面的安全防护。Websense的安全专家对于此类利用WebShell发动的网络攻击有着深刻理解,并具有丰富的防范经验。得益于WebsenseThreatSeeker智能云的帮助,Websense安全专家已经成功检测到多起攻击事件,这些网络攻击的目标涵盖了全球85,000,000多个网站,而且在这些攻击中,攻击者使用了不同的攻击技术。
  Websense安全专家指出,许多大规模的入侵活动都可以自动完成:查找系统漏洞,发现漏洞之后,自动安装漏洞利用工具。接管程序通常也会将远程管理工具下载到被入侵网站。在攻击者成功入侵网站之后,他们所部署的常见工具就是WebShell。
  WebShell是可以在系统上运行并且可以远程管理电脑的脚本或代码(以PHP、Perl、Python等脚本语言编写而成)。尽管很多时候WebShell可以用作远程管理工具,但是它们也很有可能会被恶意软件编写者利用,作为入侵网站的工具。一旦攻击者可以在Web服务器上执行此脚本,他就获得了对托管操作系统外壳程序的访问权限,与Web服务器拥有相同的特权。为了躲避防火墙或杀毒软件的检测,攻击者通常会采用代码混淆与加密等规避技术。企业需要完整的内容检测方法来检测并拦截WebShell的传播,并且可以采用各种常见混淆技术或解密脚本来揭露其真正意图。
  一旦WebShell脚本在网络中运行,就会为服务器的远程操作提供相应的Web接口:服务器信息、文件管理器(访问文件系统)、访问执行命令、SQL管理器、PHP代码执行、搜索文件与文件中的文本、上传恶意内容、注入大量代码等,为企业网络带来了极大的安全威胁。