Web Shell とは何か?
Web Shellとは何ですか?
ヘーゼル・バートンによって
2023年5月26日金曜日 08:05
知るべきこと
Cisco Talos Incident Responseは最近、2023年第1四半期のインシデントレスポンス四半期トレンドレポートをリリースしました。最も注目すべきトレンドの一つは、サイバー攻撃におけるWeb Shellの広範な使用でした。
事実、Web Shellは最も多く観察された脅威全体であるだけでなく、すべてのインシデントのほぼ四分の一にも登場しました。これは、私たちの前のトレンドレポート(使用が6%から25%に増加)から著しく増加しています。
Web Shellとは何ですか?
Web Shellは、悪意のあるアクターが初期の侵害後にシステムと対話し、アクセスを維持するために使用するツールです。これはWebスクリプト(コードの一部)の形を取り、それが脆弱なシステムにアップロードされます。その後、それは基礎となるオペレーティングシステムと対話するために使用することができます。
Web Shellが攻撃で一般的にどのように使用されるのですか?
攻撃者は、システム内の脆弱性を探し、Web Shell(または多くの場合、複数のShell)をドロップする最適な場所(彼らにとって)を見つけます。これらの脆弱性は、ウェブサイトのコンテンツ管理システムや未パッチのウェブサーバーなどにあるかもしれません。
Web Shellの検出方法は?
Web Shellはしばしば現場にはっきりとした指紋を残します。Snortのような侵入防止システムは、攻撃者がWeb Shellのようなツールを使用してリモートアクセスを得たかどうかを検出するのに役立ちます。
予防の推奨事項
Web Shellの関与の増加は、Web Shellを防ぐためのより多くの認識と保護の必要性を強調しています。Talosは以下の推奨事項を提供します:
- 定期的にすべてのソフトウェアとオペレーティングシステムを更新し、パッチを適用して、WebアプリケーションとWebサーバーの脆弱性や誤設定を特定し、修復します。
- パッチ適用に加えて、一般的なシステムの強化を行います。これには、不要なサービスやプロトコルを削除し、インターネットに直接露出しているすべてのシステムを把握します。
- “php.ini”で不要なphp関数を無効化します。これには、eval(), exec(), peopen(), proc_open()、passthru()などが含まれます。
- Webサーバーのログを頻繁に監査し、異常または非正規の活動をレビューします。