微软：Web Shell 攻击快速增加

美国国安局（NSA）与澳洲信号局（Australian Signals Directorate，ASD）早在去年4月就曾公开对外警告，愈来愈多的骇客利用网页壳层（Web Shell）来渗透受害者的网络，以自远端执行任意的系统命令，近日微软不仅呼应了NSA与ASD的说法，还说此一趋势不但仍然持续著，更加速进行中，从去年8月到今年1月间，平均每个月在服务器上所发现的Web Shell威胁有14万起，几乎是前一年同期的两倍。

Web Shell指的是以网页开发程式语言所撰写的小程式，可能是PHP、ASP或JSP，骇客把这些小程式植入网页服务器，以自远端存取或执行服务器上的功能；Web Shell允许骇客于服务器上执行命令，以窃取资料，或是把服务器当作攻击跳板，像是窃取凭证、横向移动、部署其它的酬载、实际操作键盘的活动，同时允许骇客常驻于受骇的组织内。

采用Web Shell攻击的骇客，通常会利用网页应用程序或公开网络服务器上的安全漏洞，他们透过网络扫描来选定攻击目标，所开采的可能是粗心大意而未被修补的漏洞，有时则是刚被揭露的新漏洞。

一旦骇客在服务器上植入了恶意的Web Shell，它就会成为长驻受骇系统最有效的工具之一。微软指出，他们经常看到Web Shell唯一的功能就是常驻，成为骇客持续存取受害系统的入口，然而，要找到这个恶意的Web Shell并不容易，它们不只可采用不同的语言与架构，而且看起来可能是无害的，更或者是大量的网络流量、再加上各种网络攻击行动所产生的噪音，协助了Web Shell的藏匿。

此外，骇客可能把指令藏匿在使用者代理人字串或任何参数中，且除非已使用，否则很难借由分析Web Shell的脉络，来判断它的恶意行为或企图。

骇客还会把Web Shell放在诸如媒体档案等非执行档案格式，例如在一张照片中植入Web Shell脚本程式，再将它上传到网页服务器上，于工作站载入并分析该档案时，显示照片是无害的，可一旦浏览器向服务器请求该档案，恶意的Web Shell就会在服务器端执行。

微软警告，单一的Web Shell就能让骇客自远端执行命令，恐会带来深远的影响，组织应该要强化系统来对抗Web Shell攻击，包括辨识与修补网页应用程序及网页服务器的安全漏洞及错误配置；适当地切割网络边界以免企业网络遭到波及；于网页服务器上启用防毒保护；经常稽核日志，小心那些曝露于公开网络的系统；部署及检查防火墙机制；采用严谨的凭证政策，以及限制管理员账号的使用等。