Le webshells saranno per sempre una sfida per le organizzazioni?

Question

Le webshells saranno per sempre una sfida per le organizzazioni?

#1 da (5 voti)
#2 da (0 voti)

0

Gli unici metodi per rilevare le webshell oggi sono le tecnologie FIM, che sono un problema se si inizia a distribuirle su sistemi "sporchi". Devi letteralmente schierarli su sistemi puliti per ottenere una linea di base su come sia uno stato buono.

Non solo, ma l'alternativa alle tecnologie FIM sta usando alcune firme o alcuni sistemi di rilevamento delle anomalie, che non ti daranno sempre una soluzione (ad esempio se l'autore dell'attacco ha modificato il codice di un file esistente anziché aggiungere il proprio webshell).

Quindi, fino a quando non verrà creata una nuova tecnologia, è seriamente questa la situazione? La sfida è lì, e gli attaccanti oggi usano ancora le pallottole come una delle loro armi principali nell'arsenale avversario.

internet server attack-prevention integrity

posta Franko 12.12.2016 - 15:12

fonte

2 risposte

Leggi altre domande sui tag internet server attack-prevention integrity

Dirottando la cronologia delle ricerche? Prova che i dati sono stati crittografati / distrutti dall'utente

score 5 · Answer 1

Webshells è un payload di attacco, non una vulnerabilità. Se non si dispone di una vulnerabilità che consenta all'utente malintenzionato di installare una webshell in primo luogo, non è necessario preoccuparsi delle webshell.

I rilevatori di Webshell possono essere utili per catturare un attacco che già accade. Ma se l'utente malintenzionato riesce già a installare una webshell, l'autore dell'attacco è già troppo in profondità perché tu possa fidarti della macchina.

Un altro uso di webshell è per sysadmin che utilizza un webshell per amministrare le proprie macchine, queste shell devono essere eseguite su HTTPS e devono essere autenticate per prevenire gli abusi da parte degli aggressori. Se un utente malintenzionato riesce a entrare in una di queste webshell installate legittimamente, allora si tratta di una vulnerabilità nel meccanismo di autenticazione che circonda il webshell, non a causa dello stesso webshell.

score 0 · Answer 2

Non dovresti aver bisogno dell'anomalia anticipata o del rilevamento delle firme per rilevare la presenza di codice non autorizzato sui tuoi server. In genere, il webroot deve essere statico dopo la distribuzione, il che significa che è possibile generare un HMAC basato su tutto il contenuto del webroot.

Se sai di non aver modificato alcun file sul tuo webroot e di averlo riconosciuto con lo stesso segreto e ottenuto un hash diverso, allora sai che qualcosa è stato modificato.