连发生成工具_美国NSA分享常用WebShell检测工具和植入所用漏洞列表

最新推荐文章于 2022-04-12 17:26:00 发布
最新推荐文章于 2022-04-12 17:26:00 发布
阅读量132 收藏
点赞数
文章标签: 连发生成工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39525307/article/details/111366392
版权
近日,美国国家安全局(NSA)和澳大利亚信号局(ASD)联合发布了一份有关缓解WebShell后门的网络安全信息表(CSI)。

8a70a949b0588c8c480c8b52290c1d63.png

Webshell

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。

顾名思义,"web"的含义是显然需要服务器开放Web服务,“shell"的含义是取得对服务器某种程度上操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。由于 webshell其大多是以动态脚本的形式,也有人称之为网站的后门工具。 通常情况下,网站除了一般的Web常规性漏洞外,还有框架类的漏洞,且最近这两年比较新且常见的漏洞列表也在NSA的分享之中:

42d898ac02560189b0e1174e8b5748b6.png

文中除了漏洞列表,对Webshell的手法以及如何检测也进行了详细说明,并解释对应的工具和脚本用途。

以下是工具对应NSA发布在Github的检测工具和脚本:
  1. Webshell经常伪装成图片进行上传,因此可以将这些伪装的图片和知名的图片进行比较。
  2. Splunk查询,用来检测Web流量中的异常URL
  3. Internet信息服务(IIS)日志分析工具
  4. 常见Web Shell的网络流量签名
  5. 识别异常网络流量的说明
  6. 识别Sysmon数据中关于Webshell相关的异常流程调用
  7. 使用Audited识别异常流程调用的说明
  8. 用于阻止对可通过Web访问的目录的更改的HIPS规则

其他相关资料也发布在了NSA的官方Github上,上面有挺多不错的工具。https://github.com/nsacyber

e864a5e2fe98bfa38005ab27e818829d.png

NSA发布在Github的检测工具和脚本: https://github.com/nsacyber/Mitigating-Web-Shells 可以看出,检测规则涉及文件层的Yara,网络层的Snort规则,日志类的Splunk,目录检测文件比对等,加入库中,直接就可以对外宣称拥有了美国NSA级别的检测能力。

ecf769998f5dec2fbfda8daf97b4057c.png

我们从Github介绍可以看出,确实很全面。

d5722cb51ea97330b438057e779397a0.png

总之,发本文的意思可以理解成,如果你连上面的检测规则都没有绕过去,NSA都可以秒检测出来。

当然,更有趣的是,NSA在最后给McAfee打了个广告。

4324ee6327ca08578ce21df33dc240d9.png

原文PDF下载:

https://media.defense.gov/2020/Apr/22/2002285959/-1/-1/0/DETECT%20AND%20PREVENT%20WEB%20SHELL%20MALWARE.PDF

Github无记录下载:

https://github.com/blackorbird/APT_REPORT/blob/master/exploit_report/DETECT%20AND%20PREVENT%20WEB%20SHELL%20MALWARE.PDF

文章转载自公众号黑鸟

weixin_39525307
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NSA方程式工具利用与分析
sherlly666的博客
04-24 2万+
NSA方程式工具利用与分析 NSA Eternalblue Windows漏洞 下载地址:https://yadi.sk/d/NJqzpqo_3GxZA4 解压密码:Reeeeeeeeeeeeeee github下载地址:https://github.com/misterch0c/shadowbroker释放的工具总共包含三个文件夹, Swift:包含了NSA对SWIFT银行系统发动攻击的相关证据,其
国外webshell大集合
09-27
从一个网站下载的WEBSHELL的大集合,和大家分享
美国NSA分享常用WebShell检测工具植入所用漏洞列表
blackorbird的博客
04-23 716
美国国家安全局(NSA)和澳大利亚信号局(ASD)近日联合发布了一份有关缓解WebShell后门的网络安全信息表(CSI)。PS:WebShell定义见下图。一般网站除了一般的Web常规...
jspshell 一些JSP的工具
06-24
jspshell 一些JSP的工具 非常好用的JSP工具
常见的webshell检测工具
qq_42430287的博客
04-12 2428
1、D盾_Web查杀 使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。 兼容性:只提供Windows版本。 工具下载地址:http://www.d99net.net/down/WebShellKill_V2.0.9.zip 2、百度WEBDIR+ 下一代WebShell检测引擎,采用先进的动态监测技术,结合多种引擎零规则查杀。 兼容性:提供在线查杀木马,免费开放A...
方程式工具包Linux,NSA工具包验证之SMB漏洞利用
weixin_31446915的博客
05-05 796
验证环境:攻击机1(本次演示IP:172.16.11.2):windows系统,安装python2.6.6, pywin32-221.win32-py2.6.exe, xshell, xftp, 下载方程式工具包放到C盘,在工具包目录下的windows目录新建文件夹”listeningposts”,并且开放所有端口关闭防火墙,确保内网可以访问之攻击机2(本次演示IP:172.16.12.2):ka...
NSA.rar_nsa c++_入侵检测_入侵检测算法_负选择算法
09-21
标题中的“NSA.rar_nsa c++_入侵检测_入侵检测算法_负选择算法”表明这是一个关于网络安全领域的项目,具体涉及美国国家安全局(NSA)的相关工作,使用C++编程语言实现了一种入侵检测系统,并且该系统采用了负选择...
N-NSA.rar_NSA matlab_detect matlab_iris matlab_matlab nsa_阴性选择算法
07-15
采用经典的阴性选择算法N-NSA,用IRIS数据集对算法进行耐受和检测,检测器半径固定不变,检测效率不高,因此需要采用变半径的方法检测
NSA.rar_NSA_NSA matlab_negative selection_否定选择_否定选择算法
07-14
否定选择算法的仿真 希望大家能好好学习 好东西和大家分享
NSA_ms17010漏洞扫描(自检,请勿应用在非法途径上)
07-27
【标题】"NSA_ms17010漏洞扫描(自检,请勿应用在非法途径上)"涉及的是一个特定的网络安全技术主题,主要聚焦于微软操作系统中的MS17-010漏洞,这是一个著名的安全漏洞,由美国国家安全局(NSA)发现并公开。...
MATLAB_人工免疫系统中的反向选择算法_NSA_异常检测方面
04-07
资源名:MATLAB_人工免疫系统中的反向选择算法_NSA_异常检测方面 资源类型:matlab项目全套源码 源码说明: 全部项目源码都是经过测试校正后百分百功运行的,如果您下载后不能运行可联系我进行指导或者更换。 适合...
[原创]内网渗透JSP webSehll连接工具
weixin_30613727的博客
01-12 224
工具:JspShellExec编译:VS2012C#(.NETFrameworkv2.0)组织:K8搞基大队[K8team]作者:K8拉登哥哥博客:http://qqhack8.blog.163.com发布:2017/11/2414:58:49简介: 内网JSP webSehll连接工具,没什么技术含量。有空再增加其它脚本。 只是方便在远控cmd或菜刀c...
ThinkPHP5远程代码执行exp利用工具safe6
safe6
12-12 7018
影响范围:ThinkPHP 5.0 - 5.1版本。 危害:远程代码执行 目前,ThinkPHP已发布新版本修复此漏洞,请广大ThinkPHP站长尽快升级: https://blog.thinkphp.cn/869075   2018.12.11 说明: 漏洞检测,5.0和5.1都可以检测。 命令执行,文件上传只支持5.0版本tp。5.1和5.0利用大同小异,不打算写。这只是个练手...
Snort入侵检测系统简介
热门推荐
bobozai86的博客
07-26 2万+
原文源自:https://www.jianshu.com/p/113345bbf2f7 前言        防火墙可以比喻为办公室门口的警卫,用来检查进出者的身份。而入侵检测系统就像是网上的警报器,当发现入侵者时,指出入侵者的来历、他们正在做什么。入侵检测系统被视为防火墙之后的第二道安全闸门。 Snort IDS概述         Snort IDS(入侵检测系统)是一个强大的网络入侵检...
学习笔记二:webshell初探
mcc的博客
05-27 688
webshell初探 一.webshelll简介 webshell也就是网页muma,包括大马和小马,小马通过caidao等工具进行连接,大马自带管理界面。现在webshell支持包括php,asp,jsp,perl等语言。 二.webshell体验 1.小马总结 一句话 1.<?php @eval($_POST["pass"]); ?> 上面就是最简单的一句话,用于菜刀进...
7.15 陇东学院云计算1班 马陆辉 20240715
07-15
练习题
090N03LS-VB QFN8(5X6)一款N-Channel沟道DFN8(5X6)的MOSFET晶体管参数介绍与应用说明
07-15
090N03LS-VB QFN8(5X6);Package:DFN8(5X6);Configuration:Single-N-Channel;VDS:30V;VGS:20(±V);Vth:1.7V;RDS(ON)=9mΩ@VGS=4.5V;RDS(ON)=7mΩ@VGS=10V;ID:80A;Technology:Trench;
Hadoop和Spark多节点集群搭建:从入门到进阶0基础!!易懂!!
最新发布
07-15
详细介绍了如何从入门到进阶搭建和管理Hadoop和Spark的多节点集群。首先,文章解释了多节点集群的概念和优势,然后提供了硬件和软件环境的准备步骤,包括Java和SSH配置。接着,文章分步骤指导如何下载、安装和配置Hadoop和Spark,涵盖环境变量设置、配置文件编辑和集群启动等关键步骤。还包括如何监控和优化集群资源使用,并解决常见问题,如节点通信问题和任务失败。最后,文章提供了进一步学习和扩展的建议,帮助读者深入掌握大数据处理技术。希望通过这份指南,初学者能功搭建高效的Hadoop和Spark集群,提升数据处理能力。Hadoop和Spark多节点集群搭建Hadoop和Spark多节点集群搭建Hadoop和Spark多节点集群搭建Hadoop和Spark多节点集群搭建Hadoop和Spark多节点集群搭建Hadoop和Spark多节点集群搭建Hadoop和Spark多节点集群搭建Hadoop和Spark多节点集群搭建Hadoop和Spark多节点集群搭建Hadoop和Spark多节点集群搭建Hadoop和Spark多节点集群搭建Hadoop和Spark多节点集群搭建Hadoop和
Spring Cloud Azure使用详解.pdf
07-15
Spring Cloud Azure使用详解
关于系统化应对 NSA 网络军火装备的操作手册1
08-04
漏洞利用工具本来是美国NSA下属的Equation Group(方程式组织)使用的“网络军火”,但在2017年4月14日被黑客组织Shadow Brokers(影子经纪人)曝光。 2 第一种情况: 由于相应系统停止更新服务的原因,部分安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值