后门程序是一种恶意软件类型,它会阻止正常的身份验证过程访问系统。因此,远程访问被授予应用程序内的资源,例如数据库和文件服务器,从而使犯罪者能够远程发布系统命令并更新恶意软件。
后门安装是通过利用Web应用程序中易受攻击的组件来实现的。一旦安装,检测是困难的,因为文件往往被高度混淆。
Webserver后门用于许多恶意活动,其中包括:
最流行的后门安装方法涉及远程文件包含(RFI),这是一种利用应用程序中的漏洞进行动态引用外部脚本的攻击媒介。在RFI方案中,引用函数被诱骗从远程主机下载后门木马。
具有命令执行能力的后门仪表板示例。
实施者通常使用扫描仪识别目标,这些扫描仪可以找到网站上有未打补丁或过时的组件,从而实现文件注入。一个成功的扫描器会滥用漏洞在底层服务器上安装后门。安装完成后,即使启用补丁的漏洞已被修补,也可以随时访问。
后门特洛伊木马注入通常以两步过程完成,以绕过安全规则,防止上传大于特定大小的文件。第一阶段涉及安装一个dropper--一个小文件,其唯一功能是从远程位置检索更大的文件。它启动第二阶段 - 在服务器上下载并安装后门脚本。
一旦安装,后门是非常难以清除的。传统上,检测涉及使用软件扫描程序在服务器文件系统中搜索已知的恶意软件签名。然而,这个过程很容易出错。后门外壳文件几乎总是通过使用别名和更重要的代码混淆(有时甚至是多层加密)来屏蔽。
由于许多应用程序构建在使用第三方插件的外部框架上,所以检测更加复杂; 这些有时会带有漏洞或内置后门。依赖启发式和基于签名的规则的扫描器可能无法检测到此类框架中隐藏的代码。
即使检测到后门,典型的缓解方法(甚至系统重新安装)也不可能将其从应用程序中移除。对于在可重写存储器中持续存在的后门来说尤其如此。
在Imperva Incapsula,我们使用多种方法来防止后门安装,以及检测和隔离现有的后门外壳。
一方面,Incapsula Web应用程序防火墙(WAF)使用默认和用户定义的安全规则的组合来防止RFI攻击危害您的应用程序。WAF作为网络边缘的安全代理进行部署,确保恶意请求在与应用进行交互之前被阻止。因此,您的网站在您使用我们服务的那一刻起就已经得到保护。
如果您的网络服务器在入职前已经受到威胁,那么Incapsula 后门保护解决方案可以让您检测并移除文件系统中的shell。
该解决方案采用新颖的方法拦截连接请求到恶意shell--这是扫描服务器以获得后门文件的最佳选择。与容易隐藏的后门文件不同,连接请求不能被混淆以隐藏其恶意的意图。
通过追溯这种通信尝试,Incapsula服务可以识别任何后门外壳,即使其源代码被加密以避免扫描仪 。