TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Detect and Prevent Web Shell Malware

【概要】

■ 対処手段

  • 本番サイトと安全であることが確認されているサイトイメージを比較するスクリプト
  • ウェブトラフィック中の異常なURLを検知するための「Splunk」クエリ
  • 「Internet Information Services」(IIS)のログ分析ツール
  • 一般的なウェブシェルのトラフィックシグネチャ
  • 想定外のネットワークフローを特定するための手順
  • Sysmonのデータの中から異常なプロセスの呼び出しを特定するための手順
  • Auditdを使用して異常なプロセス呼び出しを特定するための手順
  • ウェブでアクセス可能なディレクトリの変更をブロックするためのHIPSルール
  • 悪用されることが多いウェブアプリケーションの脆弱性のリスト


【公開情報】

◆Detect and Prevent Web Shell Malware (NSA, 2020/04/22)
https://media.defense.gov/2020/Apr/22/2002285959/-1/-1/0/DETECT%20AND%20PREVENT%20WEB%20SHELL%20MALWARE.PDF


【ツール】

◆Mitigating-Web-Shells (NSA)
https://github.com/nsacyber/Mitigating-Web-Shells


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020