5つの一般的なWebシェル(Alfa、SharPyShell、Krypton、ASPXSpy、TWOFACE)のフルスペクトル検出

5つの一般的なWebシェル(Alfa、SharPyShell、Krypton、ASPXSpy、TWOFACE)のフルスペクトル検出

insikt-logo-blog.png
編集者注: 以下の投稿は、レポート全文の抜粋です。分析全体を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。

このレポートでは、Alfa、Krypton、SharPyShell、ASPXSpy、TWOFACE の 5 つの主要な Web シェルの技術的な概要を説明します。 これには、Web シェルの機能と、ホストベースおよびネットワークベースの検出の詳細が含まれています。 このレポートは、検出エンジニアリングに重点を置くセキュリティ運用の読者を対象としています。 ソースには、Recorded Future Platform®、GreyNoise、Shodan、BinaryEdgeが含まれます。

Executive Summary

Webシェルは、脅威アクターが公開Webサーバーへのアクセスを維持するために使用する一般的で強力なツールです。 これらは軽量で、時にはわずか4行のコードしか含まれていないため、脅威アクターはセカンダリペイロードを実行し、権限を昇格させ、データを盗み出し、侵害されたネットワーク内を横方向に移動できます。 Webシェルは、使用中に残るフットプリントが小さいこと、公開サーバーの組織の可視性が限られていること、およびWebシェルに関連するネットワークトラフィックが通常のWebサーバーアクティビティに紛れ込む可能性があるため、検出されないことがよくあります。 私たちの研究は、ログ分析、ネットワーク分析、およびWebシェルスキャン技術を組み合わせて、Webシェルを検出するための全範囲にわたるアプローチを提供します。 ここでは、国家が支援する脅威アクターや犯罪者アクターが最近使用したWebシェルのサブセット(Alfa、SharPyShell、Krypton、ASPXSpy、TWOFACE)に焦点を当てています。 私たちの方法論と検出は、防御者のために内部的に適用することができますが、外部に面したサーバー上のWebシェルの存在を探しているセキュリティ研究者にも適用できます。

主な判断

編集者注: この投稿は、レポート全文の抜粋です。分析全体を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。