【概要】
■ 対処手段
- 本番サイトと安全であることが確認されているサイトイメージを比較するスクリプト
- ウェブトラフィック中の異常なURLを検知するための「Splunk」クエリ
- 「Internet Information Services」(IIS)のログ分析ツール
- 一般的なウェブシェルのトラフィックシグネチャ
- 想定外のネットワークフローを特定するための手順
- Sysmonのデータの中から異常なプロセスの呼び出しを特定するための手順
- Auditdを使用して異常なプロセス呼び出しを特定するための手順
- ウェブでアクセス可能なディレクトリの変更をブロックするためのHIPSルール
- 悪用されることが多いウェブアプリケーションの脆弱性のリスト
【公開情報】
◆Detect and Prevent Web Shell Malware (NSA, 2020/04/22)
https://media.defense.gov/2020/Apr/22/2002285959/-1/-1/0/DETECT%20AND%20PREVENT%20WEB%20SHELL%20MALWARE.PDF
【ツール】
◆Mitigating-Web-Shells (NSA)
https://github.com/nsacyber/Mitigating-Web-Shells