ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1051

术语表: /attack/glossary

共享 Webroot

攻击者可以通过包含网站的 webroot 或 Web 内容目录 的开放网络文件共享将恶意内容添加到内部可访问的网站,然后使用 Web 浏览器浏览到该内容以使服务器执行恶意内容。恶意内容一般在 Web 服务器进程的上下文和权限下运行,通常在本地系统或管理员权限下运行,具体取决于 Web 服务器的配置方式。 这种共享访问和远程执行机制可用于横向移动到运行 Web 服务器的系统。例如,使用开放网络共享运行 PHP 的 Web 服务器使攻击者可以上传远程访问工具和 PHP 脚本,以便在特定页面被访问时,在 Web 服务器系统上执行 RAT 病毒。

缓解

如果没有适当保护系统和 Web 服务器以限制特权帐户使用,未经身份验证的网络共享访问和网络/系统隔离,那么允许开放式开发和测试 Web 内容,并允许用户在企业网络建立自己的 Web 服务器的网络很容易受到攻击。 确保通过 Web 服务器访问的目录具有适当的权限。不允许远程访问 webroot 或用于托管 Web 内容的其他目录。禁用在 webroot 中的目录上的执行。确保 Web 服务器进程的权限仅是不使用内置帐户所需的权限;相反,创建特定的帐户来限制跨多个系统的不必要的访问或权限重叠。­

检测

使用文件和进程监控检测非正常 Web 服务器进程何时将文件写入 Web 服务器,以及何时在正常管理时间段外写入文件。使用进程监控来识别 Web 服务器上运行的正常进程,并检测通常不执行的进程。