اخبار داخلی آرمان داده پویان

آموزش

خانه آموزش مقاله های آموزشیابزارهای امنیتی استفاده شده در حملات امنیتی اخیر (قسمت دوم)
تعداد بازدید: 1279

ابزارهای امنیتی استفاده شده در حملات امنیتی اخیر


قسمت دوم

در این قسمت قصد داریم در مورد webshell صحبت کنیم. به معرفی و بررسی China Chopper نیز خواهیم پرداخت. China Chopper یک webshell است که از سال ۲۰۱۲ در اختیار عموم قرار گرفته و از آن به صورت گسترده‌ای استفاده شده است.

Webshell چیست؟

در واقع webshell یک اسکریپت مخرب است که بر روی سیستم قربانی بارگذاری شده و امکانات مدیریت از راه دور را در اختیار مهاجم قرار می‌دهد. زمانی که webshell به یک سیستم در یک شبکه دست می‌یابد می‌تواند از طریق این سیستم به دستگاه‌های دیگر موجود در شبکه نیز متصل گردد.

China Chopper

از China Chopper در سال‌های اخیر به صورت گسترده‌ای برای آلوده کردن وب‌سرورها استفاده شده است. China Chopper یک webshell بسیار سبک با حجم ۴KB و دارای سرباری قابل تغییر است به همین دلیل نیز تشخیص آن توسط راهکارهای امنیتی کار آسانی نیست. در مورد نحوه عملکرد China Chopper هم بایستی بگوییم بعد از نفوذ به وب‌سرورها کار مدیریت فایل‌ها و دایرکتوری‌ها را بر عهده گرفته و به یک ترمینال مجازی بر روی این وب‌سرور آلوده دست می‌یابد.

اجزای China Chopper

China Chopper شامل دو قسمت است.

  • سمت کاربر
  • سمت سرور

سمت کاربر

در سمت کاربر توسط مهاجم راه‌اندازی می‌گردد. در سمت سرور هم که بر روی سرور نصب می‌گردد اما باز هم توسط مهاجم کنترل می‌گردد. China Chopper در سمت کاربر به پایانه دستورات (terminal commands) دست یافته و موفق به مدیریت فایل‌ها بر روی سرور قربانی می‌گردد. MD5 hash این webshell به صورت عمومی قابل دسترس است. (hxxp://www.maicaidao.com)

 سمت سرور

China chopper در سمت سرور دسترسی از راه دور مهاجم به سرور قربانی را امکان‌پذیر می‌سازد. سپس مهاجم بر روی این سرور به دنبال یک آسیب‌پذیری برای بهره‌برداری می‌گردد. بعد از بهره‌برداری موفق از آسیب‌پذیری یافت شده مهاجم می‌تواند به فایل‌ها و داده‌های مورد نظرش بر روی سرور قربانی دست یافته و از آن‌ها در جهت اهدافش استفاده نماید. China Chopper توانایی دانلود و آپلود فایل‌های مورد نظرش بر روی سیستم قربانی را دارا می‌باشد. همچنین قابلیت تغییر، پاک کردن، کپی، تغییر نام و یا حتی تغییر برچسب زمان را دارا می‌باشد.

راهکارهای تشخیص و پیشگیری از نفوذ webshell

  • اولین قدم بروزرسانی و نصب وصله‌های امنیتی نصب شده بر روی وب‌سرورها می‌باشد.
  • سنجش آسیب‌پذیری برنامه‌های کاربردی برای تشخیص آسیب‌پذیری‌های رایج وب
  • نکته‌ای در مورد China Chopper وجود دارد که تشخیص آن را راحت‌تر می‌نماید. این webshellبعد از هر فعالیتی که انجام می‌دهد یک HTTP POST تولید می‌نماید. در نتیجه توجه به این موضوع می‌تواند تشخیص آن را راحت نماید.
  • به دلیل استفاده وب‌سرورها از TLS برای رمزنگاری ترافیک، تشخیص فعالیت‌های China Chopper با ابزارهای امنیتی چالش‌برانگیز می‌گردد.
  • اما بهترین راهکار برای تشخیص وجود webshell بر روی سرورها، به خصوص سرورهایی که به سمت اینترنت هستند استفاده از  command line است. هم بر روی ویندوز و هم لینوکس می‌توانید از این راهکار استفاده نمایید.
  • راهکارهای امنیتی بر روی وب‌سرورها بایستی اجرای روندهای مشکوک را تحت نظر داشته باشند.
  • اتصالات غیر معمول از جانب وب‌سرورها بایستی رصد گردد.
  • با مدیریت دسترسی‌ها می‌توانید به روندهای وب‌سرور اجازه ندهید که بر روی دایرکتوری‌ها بنویسند.
  • با مدیریت دسترسی می‌توانید به روندهای وب‌سرور اجازه ندهید که فایل‌ها را تغییر دهند.
  • از لاگ‌های دسترسی وب خود به عنوان منبعی برای پایش استفاده نمایید. در این صورت تغییرات در الگوهای ترافیک را راحت‌تر و سریع‌تر می‌توانید تشخیص دهید.

آرمان داده پویان ارائه‌کننده Web Application Firewall و راهکارهای مبتنی بر آن

برای اطلاعات بیشتر تماس بگیرید


تازه ترین ها