ATT&CK -

admin 2024年4月15日01:10:55评论5 views字数 616阅读2分3秒阅读模式

共享 Webroot

攻击者可以通过包含网站的 webroot 或 Web 内容目录
的开放网络文件共享将恶意内容添加到内部可访问的网站,然后使用 Web 浏览器浏览到该内容以使服务器执行恶意内容。恶意内容一般在 Web 服务器进程的上下文和权限下运行,通常在本地系统或管理员权限下运行,具体取决于 Web 服务器的配置方式。
这种共享访问和远程执行机制可用于横向移动到运行 Web 服务器的系统。例如,使用开放网络共享运行 PHP 的 Web 服务器使攻击者可以上传远程访问工具和 PHP 脚本,以便在特定页面被访问时,在 Web 服务器系统上执行 RAT 病毒。

缓解

如果没有适当保护系统和 Web 服务器以限制特权帐户使用,未经身份验证的网络共享访问和网络/系统隔离,那么允许开放式开发和测试 Web 内容,并允许用户在企业网络建立自己的 Web 服务器的网络很容易受到攻击。
确保通过 Web 服务器访问的目录具有适当的权限。不允许远程访问 webroot 或用于托管 Web 内容的其他目录。禁用在 webroot 中的目录上的执行。确保 Web 服务器进程的权限仅是不使用内置帐户所需的权限;相反,创建特定的帐户来限制跨多个系统的不必要的访问或权限重叠。­

检测

使用文件和进程监控检测非正常 Web 服务器进程何时将文件写入 Web 服务器,以及何时在正常管理时间段外写入文件。使用进程监控来识别 Web 服务器上运行的正常进程,并检测通常不执行的进程。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月15日01:10:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ATT&CK -https://cn-sec.com/archives/2658072.html

发表评论

匿名网友 填写信息