NSA发布检测WebShell的软件

华盟原创文章投稿奖励计划
NSA发布检测WebShell的软件

美国国家安全局(NSA)和澳大利亚信号局(ASD)本周发布了一份安全公告,警告企业尽快从Web服务器和内部服务器中检测常见的WebShell恶意软件。
两家机构现已发布了一份长达17页的联合报告https://media.defense.gov/2020/Apr/22/2002285959/-1/-1/0/DETECT%20AND%20PREVENT%20WEB%20SHELL%20MALWARE.PDF 其中包含一些工具,可帮助系统管理员检测和处理这些WebShell威胁,包括:

  1. 用于将生产网站与知名图片进行比较的脚本

  2. Splunk查询,用于检测Web流量中的异常URL

  3. 互联网信息服务(IIS)日志分析工具

  4. 常见WebShell的网络流量签名

  5. 识别意外网络流量的说明

  6. 识别Sysmon数据中异常流程调用的说明

  7. 使用Audited识别异常流程调用的说明

  8. 用于阻止对可通过Web访问的目录的更改的HIPS规则

  9. 常用的Web应用程序漏洞列表

NSA发布检测WebShell的软件

相关资料也发布在了NSA的官方Github上,有挺多不错的工具。

https://github.com/nsacyber

NSA发布在Github的检测工具和脚本:

https://github.com/nsacyber/Mitigating-Web-Shells

可以看到,检测规则涉及文件层的Yara,网络层的Snort规则,日志类的Splunk,目录检测文件比对等等,加入库中,直接就可以对外吹牛说,拥有了美国NSA级别的检测能力。

NSA发布检测WebShell的软件

华盟君前几天看到这个消息了,反正我是没敢用,怕有后门

本文原创,作者:congtou,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/256908.html

发表评论