このレポートでは、Alfa、Krypton、SharPyShell、ASPXSpy、TWOFACE の 5 つの主要な Web シェルの技術的な概要を説明します。 これには、Web シェルの機能と、ホストベースおよびネットワークベースの検出の詳細が含まれています。 このレポートは、検出エンジニアリングに重点を置くセキュリティ運用の読者を対象としています。 ソースには、Recorded Future Platform®、GreyNoise、Shodan、BinaryEdgeが含まれます。

Executive Summary

Webシェルは、脅威アクターが公開Webサーバーへのアクセスを維持するために使用する一般的で強力なツールです。 これらは軽量で、時にはわずか4行のコードしか含まれていないため、脅威アクターはセカンダリペイロードを実行し、権限を昇格させ、データを盗み出し、侵害されたネットワーク内を横方向に移動できます。 Webシェルは、使用中に残るフットプリントが小さいこと、公開サーバーの組織の可視性が限られていること、およびWebシェルに関連するネットワークトラフィックが通常のWebサーバーアクティビティに紛れ込む可能性があるため、検出されないことがよくあります。 私たちの研究は、ログ分析、ネットワーク分析、およびWebシェルスキャン技術を組み合わせて、Webシェルを検出するための全範囲にわたるアプローチを提供します。 ここでは、国家が支援する脅威アクターや犯罪者アクターが最近使用したWebシェルのサブセット(Alfa、SharPyShell、Krypton、ASPXSpy、TWOFACE)に焦点を当てています。 私たちの方法論と検出は、防御者のために内部的に適用することができますが、外部に面したサーバー上のWebシェルの存在を探しているセキュリティ研究者にも適用できます。

主な判断

• Webシェルは、主にその使いやすさと検出の難しさから、APTと金銭的な動機を持つ脅威アクターの両方によって引き続き使用されます。
• 私たちは、一緒に使用できるWebシェルを検出するための4つの手法を特定しました:YARAルール、Sigmaルール、ネットワークトラフィックパターン、および内部/外部スキャン。 これらの方法は絶対確実ではありませんが、防御者がシステム上のWebシェルを探すための多様な機会を提供します。
• ホストとネットワークの可視性が限られているセキュリティチームは、HTTPスキャン技術を使用してシステム上のWebシェルを検出できます。
• 脅威アクターが公開されているサーバーを悪用できる限り、脅威アクターは永続性を維持し、追加の機能を提供するためにWebシェルを使用し続けます。

編集者注: この投稿は、レポート全文の抜粋です。分析全体を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。