攻擊者利用WebShell發(fā)動(dòng)網(wǎng)絡(luò)攻擊已是慣用的手法，隨著攻擊手法的交替更迭，可以逃避安全檢測(cè)的攻擊技術(shù)方法讓不法分子在發(fā)動(dòng)攻擊時(shí)更加得心應(yīng)手。作為Web安全、數(shù)據(jù)安全、電子郵件安全、移動(dòng)安全及數(shù)據(jù)泄露防護(hù)(DLP)解決方案提供商，Websense一直致力于為企業(yè)提供全面的安全防護(hù)。Websense的安全專家對(duì)于此類利用WebShell發(fā)動(dòng)的網(wǎng)絡(luò)攻擊有著深刻理解，并具有豐富的防范經(jīng)驗(yàn)。得益于Websense ThreatSeeker智能云的幫助，Websense安全專家已經(jīng)成功檢測(cè)到多起攻擊事件，這些網(wǎng)絡(luò)攻擊的目標(biāo)涵蓋了全球85,000,000多個(gè)網(wǎng)站，而且在這些攻擊中，攻擊者使用了不同的攻擊技術(shù)。

Websense安全專家指出，許多大規(guī)模的入侵活動(dòng)都可以自動(dòng)完成：查找系統(tǒng)漏洞，發(fā)現(xiàn)漏洞之后，自動(dòng)安裝漏洞利用工具。接管程序通常也會(huì)將遠(yuǎn)程管理工具下載到被入侵網(wǎng)站。在攻擊者成功入侵網(wǎng)站之后，他們所部署的常見(jiàn)工具就是WebShell。下面是Websense安全專家檢測(cè)到的一起攻擊事件。在此次攻擊中，攻擊者首先找到托管Web應(yīng)用漏洞，然后上傳一個(gè)以服務(wù)器支持的語(yǔ)言編寫而成的惡意應(yīng)用程序后門。這樣，攻擊者就可以實(shí)現(xiàn)對(duì)整個(gè)Web服務(wù)器的控制。

攻擊者向服務(wù)器中添加惡意后門工具，以實(shí)現(xiàn)對(duì)整個(gè)服務(wù)器的控制

WebShell是可以在系統(tǒng)上運(yùn)行并且可以遠(yuǎn)程管理電腦的腳本或代碼(以PHP、Perl、Python等腳本語(yǔ)言編寫而成)。盡管很多時(shí)候WebShell可以用作遠(yuǎn)程管理工具，但是它們也很有可能會(huì)被惡意軟件編寫者利用，作為入侵網(wǎng)站的工具。一旦攻擊者可以在Web服務(wù)器上執(zhí)行此腳本，他就獲得了對(duì)托管操作系統(tǒng)外殼程序的訪問(wèn)權(quán)限，與Web服務(wù)器擁有相同的特權(quán)。為了躲避防火墻或殺毒軟件的檢測(cè)，攻擊者通常會(huì)采用代碼混淆與加密等規(guī)避技術(shù)。企業(yè)需要完整的內(nèi)容檢測(cè)方法來(lái)檢測(cè)并攔截WebShell的傳播，并且可以采用各種常見(jiàn)混淆技術(shù)或解密腳本來(lái)揭露其真正意圖。

以下是Websense安全專家檢測(cè)到的另一起網(wǎng)絡(luò)攻擊。在此次攻擊中，攻擊者利用了一個(gè)名為"oRb"的自定義WebShell。該WebShell本身可以通過(guò)混淆技術(shù)來(lái)躲避檢測(cè)，并且使用了帶有"e"修飾符的preg_replace函數(shù)。此外，通過(guò)在標(biāo)題中聲明文件類型是圖形文件，服務(wù)于此WebShell的URL也在試圖誤導(dǎo)系統(tǒng)安全工具。

一旦WebShell腳本在網(wǎng)絡(luò)中運(yùn)行，就會(huì)為服務(wù)器的遠(yuǎn)程操作提供相應(yīng)的Web接口：服務(wù)器信息、文件管理器(訪問(wèn)文件系統(tǒng))、訪問(wèn)執(zhí)行命令、SQL管理器、PHP代碼執(zhí)行、搜索文件與文件中的文本、上傳惡意內(nèi)容、注入大量代碼等，為企業(yè)網(wǎng)絡(luò)帶來(lái)了極大的安全威脅。

Websense安全專家表示，Websense作為Web安全行業(yè)的領(lǐng)軍企業(yè)，始終致力于保護(hù)用戶免受各種網(wǎng)絡(luò)攻擊的侵害。具有實(shí)時(shí)掃描功能的Websense ACE?(高級(jí)分類引擎)可以檢測(cè)各種混淆方法與技術(shù)，阻止用戶對(duì)惡意WebShell或網(wǎng)頁(yè)的訪問(wèn)，并監(jiān)控出站內(nèi)容，防止敏感數(shù)據(jù)離開(kāi)企業(yè)網(wǎng)絡(luò)，為企業(yè)網(wǎng)絡(luò)提供實(shí)時(shí)的安全防護(hù)。同時(shí)，Websense ThreatSeeker網(wǎng)絡(luò)作為具有網(wǎng)絡(luò)識(shí)別功能的最大規(guī)模智能網(wǎng)絡(luò)，每天可以處理近50億的Web請(qǐng)求，為企業(yè)提供實(shí)時(shí)的安全分析更新。