WEB服务器租用5种常见攻击与防御方法分享

WEB服务器租用有哪些常见的攻击呢？以及这些常见的防御方式有哪些呢？朋友们对于WEB服务器了解吗？不了解不要紧，今天这篇文章腾佑科技小编就来为朋友们介绍一下关于WEB服务器租用方面的信息。

WEB服务器一般指网站服务器，是指驻留于因特网上某种类型计算机的程序，可以向浏览器等Web客户端提供文档，也可以放置网站文件，让全世界浏览；可以放置数据文件，让全世界下载。目前最主流的三个Web服务器是Apache Nginx IIS。

WEB服务器也称为WWW(WORLD WIDE WEB)服务器，主要功能是提供网上信息浏览服务。 WWW 是 Internet 的多媒体信息查询工具，是 Internet 上近年才发展起来的服务，也是发展最快和目前用的最广泛的服务。正是因为有了WWW工具，才使得近年来 Internet 迅速发展，且用户数量飞速增长。

Web服务器由于服务器租用用户在主机中存有大量的重要数据而成为不少黑客的攻击对象。通常情况下黑客并不会直接将服务器给攻击瘫痪而是以窃取资料为主。所以用户需要及时做好清除异己预防的工作。

WEB服务器租用5种常见攻击与防御方法分享！

以上已经介绍了关于WEB服务器的相关知识，下面就来介绍一下WEB服务器租用5种常见攻击与防御方法：

一. Mimikatz

Mimikatz，由法国程序员Benjamin Delpy于2007年开发，主要通过名为Local Security Authority Subsystem Service（LSASS）的Windows进程收集登录目标Windows计算机的其他用户的凭据。

Mimikatz 能在极短的时间内从计算机内存中抓取 Windows 用户的密码，从而获得该计算机的访问权或者受害人在网络上的其他访问权。如今，Mimikatz 已经成为一种无处不在的黑客渗透工具，入侵者们一旦打开缺口，就能迅速从一台联网设备跳到下一台。

2017年，Mimikatz 重新回到了人们的视线中，它成为了 NotPetya 和 BadRabbit的组成部分，而这两个勒索蠕虫已经击垮了乌克兰，并且蔓延到整个欧洲、俄罗斯和美国。其中，仅 NotPetya 就导致了马士基、默克和联邦快递等公司数千台电脑的瘫痪，已经造成 10 亿多美元的损失。

正如计算机商业评论在5月份指出的那样，Windows 10版本1803中的大量安全更新将可以阻止从lsass.exe窃取凭据。

事实上，最初Benjamin Delpy只是将Mimikatz作副项目来开发，旨在更加了解Windows的安全性能和C语言，同时意在向微软证明Windows密码中存在的安全漏洞。但也正如Delpy所言，虽然Mimikatz不是为攻击者设计的，但是它却帮助了他们，任何一个事物，有利就有弊。由于Mimikatz工具功能强大、多样且开源的特性，允许恶意行为者和渗透测试人员开发自定义插件，因此，近年来开始频繁地被众多攻击者用于恶意目的。

WEB服务器租用之Mimikatz防御建议如下：

首先，防御者应该禁止在LSASS内存中存储明文密码。这是Windows 8.1 / Server 2012 R2及更高版本的默认行为，但用户可以在安装了相关安全修补程序的旧系统上更改这种默认设置。

其次，无论在何处发现了Mimikatz的活动痕迹，您都应该进行严格的调查，因为Mimikatz的出现就表明攻击者正在积极地渗透您的网络。此外，Mimikatz的一些功能需要利用管理员账户来发挥效用，因此，您应该确保仅根据需要授权管理员账户。在需要管理访问权限的情况下，您应该应用“权限访问管理原则”。

二. PowerShell Empire

PowerShell Empire框架（Empire）于2015年被设计为合法的渗透测试工具，是一个PowerShell后期漏洞利用代理工具，同时也是一款很强大的后渗透测神器。

它旨在允许攻击者（或渗透测试人员）在获得初始访问权限后在网络中移动。此外，它还可用于升级权限、获取凭据、渗漏信息并在网络中横向移动。（类似工具包括Cobalt Strike和Metasploit）

由于它是构建在一个通用的合法应用程序（PowerShell）上，并且几乎可以完全在内存中运行，所以使用传统的防病毒工具很难在网络上检测到Empire。NCSC指出，PowerShell Empire在敌对的国家行为者和有组织的犯罪分子中已经变得越来越受欢迎。

以最近的一个攻击案件为例：2017年，黑客组织APT19在多起针对跨国法律与投资公司的钓鱼攻击活动，就使用了嵌入宏的Microsoft Excel文档（XLSM），而该文档就是由PowerShell Empire生成的。

WEB服务器租用之PowerShell Empire防御建议：

NCSC表示，想要识别潜在的恶意脚本，就应该全面记录PowerShell活动。这应该包括脚本块日志记录和PowerShell脚本。此外，通过使用脚本代码签名、应用程序白名单以及约束语言模式的组合，也能够防止或限制恶意PowerShell在成功入侵时可能造成的影响。

WEB服务器租用5种常见攻击与防御方法分享！

三、JBiFrost远程访问木马（RAT）

在计算机世界里，木马是种恶意软件，通过电子邮件或恶意网页偷偷进入并安装在你的计算机上。一旦进入后，恶意软件就可以做各种坏事了。

有些木马程序被称为远程访问木马，被设计用于远程操纵用户的计算机，让黑客可以完全控制。有些则可能有不同目的，例如窃取个人信息，侧录键盘，甚至将受害者计算机作为僵尸网络的一部分。

英国国家网络安全中心（NCSC）表示，虽然有大量的RAT活跃于世，但是JBiFrost开始越来越多地被用于针对关键国家基础设施所有者及其供应链运营商的针对性攻击活动之中。

据悉，JBiFrost RAT是一款基于Java的、跨平台且多功能的远程访问木马。它可以对多种不同的操作系统构成威胁，具体包括Windows、Linux、MAC OS X以及Android。JBiFrost允许恶意行为者在网络上横向移动，或安装其他恶意软件。它主要通过网络钓鱼电子邮件作为附件进行传播。

感染迹象包括：

无法以安全模式重新启动计算机；

无法打开Windows注册表编辑器或任务管理；

磁盘活动和/或网络流量显着增加；

尝试连接已知的恶意IP地址；

使用模糊或随机名称创建新文件和目录；

WEB服务器租用之JBiFrost远程访问木马（RAT）防御建议：

NCSC表示，定期修补和更新补丁程序，以及使用现代防病毒程序可以阻止大多数变种。组织还应该针对重要网络资产实施额外的防病毒检测。此外，培训用户和企业员工的网络钓鱼意识也至关重要。

WEB服务器租用5种常见攻击与防御方法分享！

四. HUC数据包发送器（HTran）

HUC数据包发送器（HTran）是一种代理工具，用于拦截和重定向从本地主机到远程主机的传输控制协议（TCP）连接。该工具至少自2009年起就已经在互联网上免费提供，并且经常能够在针对政府和行业目标的攻击活动中发现其身影。

HTran可以将自身注入正在运行的进程并安装rootkit来隐藏与主机操作系统的网络连接。使用这些功能还可以创建Windows注册表项，以确保HTran保持对受害者网络的持久访问。

WEB服务器租用之HUC数据包发送器（HTran）防御建议：

现代的、经过正确配置和仔细审查的网络监控工具和防火墙，通常能够检测出来自HTran等工具的未经授权的连接。此外，NCSC指出，HTran还包括一个对网络防御者有用的调试条件。在目的地不可用的情况下，HTran会使用以下格式生成错误消息：sprint（buffer, “[SERVER]connection to %s:%d error ”， host, port2）；该错误消息会以明文形式中继到连接客户端中。网络防御者可以监视该错误消息，以便检测自身环境中活跃的HTran实例。

五. 中国菜刀（China Chopper）

顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。“webshell”常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。“中国菜刀”就是一种应用非常广的webshell，其大小仅有4kb。

一旦设备遭到入侵，“中国菜刀”就可以使用文件检索工具“wget”将文件从Internet下载到目标，并编辑、删除、复制、重命名以及更改现有文件的时间戳。

检测和缓解“中国菜刀”最有效的方法在于主机自身，尤其是面向公众的Web服务器上。在基于Linux和Windows的操作系统上，有一些简单的方法可以使用命令行搜索Web shell的存在。

WEB服务器租用之中国菜刀（China Chopper）防御建议：

报告强调，为了更广泛地检测web shells，网络防御者应该专注于发现Web服务器上的可疑进程执行（例如PHP二进制文件生成进程），或者来自Web服务器的错误模式出站网络连接。

以上内容由腾佑科技为各位整理的关于WEB服务器租用5种常见攻击与防御方法的介绍，希望能帮助到有需要的朋友们，如想要了解更多关于WEB服务器租用方面的信息，可以登录腾佑科技官网了解：http://www.tuidc.com