NSA发布检测WebShell的软件
美国国家安全局(NSA)和澳大利亚信号局(ASD)本周发布了一份安全公告,警告企业尽快从Web服务器和内部服务器中检测常见的WebShell恶意软件。
两家机构现已发布了一份长达17页的联合报告https://media.defense.gov/2020/Apr/22/2002285959/-1/-1/0/DETECT%20AND%20PREVENT%20WEB%20SHELL%20MALWARE.PDF ,其中包含一些工具,可帮助系统管理员检测和处理这些WebShell威胁,包括:
-
用于将生产网站与知名图片进行比较的脚本
-
Splunk查询,用于检测Web流量中的异常URL
-
互联网信息服务(IIS)日志分析工具
-
常见WebShell的网络流量签名
-
识别意外网络流量的说明
-
识别Sysmon数据中异常流程调用的说明
-
使用Audited识别异常流程调用的说明
-
用于阻止对可通过Web访问的目录的更改的HIPS规则
-
常用的Web应用程序漏洞列表
相关资料也发布在了NSA的官方Github上,有挺多不错的工具。
https://github.com/nsacyber
NSA发布在Github的检测工具和脚本:
https://github.com/nsacyber/Mitigating-Web-Shells
可以看到,检测规则涉及文件层的Yara,网络层的Snort规则,日志类的Splunk,目录检测文件比对等等,加入库中,直接就可以对外吹牛说,拥有了美国NSA级别的检测能力。
华盟君前几天看到这个消息了,反正我是没敢用,怕有后门。