AntiShell détectera rapidement une grande variété de webshells et protégez votre serveur web.

Contexte du développement du produit

Afin de pirater une application Web, les pirates souvent tentent de trouver des comptes vulnérables ou d'identifier les vulnérabilités qui peuvent être exploitées sur un serveur Web ciblé. Pour se protéger, les administrateurs de sécurité s'engagent généralement à appliquer des correctifs au serveur et à tenter de corriger les vulnérabilités et les comptes identifiés. Lorsque ces vulnérabilités seront résolues, les attaquants changeront généralement leurs cibles, rechercheront de nouvelles vulnérabilités ou tenteront de réutiliser des informations de compte vulnérables, etc. , donc cela demande beaucoup de temps et d'efforts. Pour cette raison, les attaquants souvent installer des portes arrière appelées "Webshells" afin de garder leur contrôle sur les serveurs compromis. Une fois que cette porte dérobée est configurée, les attaquants peuvent alors voler des informations à partir de ces serveurs à tout moment, et utiliser ces serveurs comme des tremplins pour attaquer d'autres cibles dans le même environnement. Webshells ont été utilisés depuis longtemps et les entreprises se sont généralement appuyés sur l'anti-virus de signature pour se défendre. Cependant, ces dernières années, les webshells ont utilisé du code obscurci pour échapper aux détections basées sur les signatures, les rendant de ce fait de plus en plus difficiles à détecter. En raison de cette tendance, les fournisseurs d'antivirus ont mis l'accent sur la protection contre les ransomwares et autres logiciels malveillants courants plutôt que sur les sites Web.

Logiciels de détection Webshell ont généralement été très intensive en ressources. Cela s'avère problématique car la performance est la clé sur les serveurs hébergeant des applications web critiques. Au fil des années, il y a également eu d'innombrables variantes de webshells rendant ainsi inefficaces les détections basées sur les signatures. Quoi qu'il en soit, une fois que la porte dérobée d'une webshell a été mise en place, les dégâts peuvent être catastrophiques. Un serveur compromis pourrait facilement être infecté par d'autres virus, des données et des informations confidentielles pourraient être divulguées et des serveurs compromis pourraient servir de tremplin pour attaquer d'autres serveurs. Ainsi, afin de protéger les entreprises contre les fuites de données et d'assurer la réputation de l'entreprise, les développeurs d'AntiShell ont essayé de trouver un moyen de détecter les WebShells sans se fier aux détections conventionnelles basées sur les signatures. AntiShell est un programme unique qui peut détecter les webshells et générer des rapports en temps réel. Le programme, il s'appelle "Antishell"( détecteur de WebShells).

Présentation du produit

Le nom du produit

AntiShell Web Shell Hunter

Caractéristiques du produit

  • Détection en temps réel et des rapports de webshells serveur
  • Conçu pour détecter de nombreuses variantes de webshells
  • Planification automatisée des rapports ( 24h sur24)
  • Détection 100% des webshells connus
  • Tirer parti et partager des modèles de sites Web connus
  • Simple, facile à configurer, facile à utiliser

Qu'est-ce que AntiShell?

Les programmes "Shell" qui s'exécutent sur les serveurs Web. Peut être écrit en plusieurs langues (PHP, Perl, Python). Une fois installés, ils fonctionnent comme des portes dérobées, permettant l'exécution arbitraire des commandes du système d'exploitation et conduisant à des fuites d'informations ou à la fermeture de services Web critiques. Ces backdoors pourraient également conduire à l'introduction de logiciels malveillants supplémentaires tels que Ransomware, la distribution de virus aux utilisateurs finaux, ainsi que d'être utilisé comme un tremplin pour attaquer d'autres serveurs, etc. Récemment, les webshells ont même évolué pour se cacher et sont connus pour contenir des fonctionnalités d'auto-suppression ainsi que d'autres fonctionnalités.

Les choses qu'un WebShell peut faire

les fonctions sommaire
Collecte d'informations sur le serveur Collecter des informations sur le serveur (type de CPU, taille de mémoire installée, capacité du disque dur, type de système d'exploitation), versions logicielles installées (versions Apache et PHP), informations de processus en cours, etc.
Opérations sur les fichiers Télécharger, télécharger, supprimer et modifier le contenu des fichiers. Dans certains cas, les webshells ont même la possibilité de modifier les fichiers via une interface d'édition simple.
Aide à l'exécution des commandes OS Webshells disposent de la capacité d'exécuter des commandes de niveau de système d'exploitation via une simple page web de gestion. Ils imitent la capacité de l'accès à la console Terminal Server.
Connexion à la base de données Une interface Web qui se connecte à la base de données hébergée sur le serveur infecté. Peut également se connecter à des bases de données hébergées sur d'autres serveurs sur le même réseau.
Connexion FTP Interface Web qui se connecte au service FTP hébergé sur le serveur infecté et à d'autres serveurs FTP sur le même réseau.
Connection à un autre hôte (Brute-force attack) La possibilité de faire Brute-force attack aux services publics hébergés sur des serveurs (SSH, TELNET etc.)
Outil d'opération de chaîne de caractères Une fonction utilisée pour faire le codage / décodage d'URL, et l'encodage / décodage des chaînes de hachage BASE64, MD5 et SHA1, etc.
Se supprimer automatiquement Se supprimer WebShell lui-même quand il n'est plus nécessaire.

Les WebShells disposent généralement la possibilité d'administrer des séances de gestion. Lorsqu'un utilisateur non autorisé tente d'accéder à WebShell, l'accès à ses principales fonctions est généralement restreint. Un webshell peut envoyer un contenu inoffensif à l'utilisateur-agent demandeur (par exemple, des robots d'exploration) ou présenter un "404 Not Found" à des utilisateurs non autorisés. Les Webshells sont généralement conçus pour répondre et exécuter uniquement des commandes basées sur des paramètres de requête spécifiques, augmentant ainsi la difficulté de la détection de webshell. Les attaquants peuvent également concevoir leurs propres webshells ou les webshells existants peuvent être obscurcis pour échapper à la détection.

Caractéristiques de AntiShell

Détecte tous les types de webshells, quelle que soit la langue.

la détection webshell est difficile, car ils peuvent être rédigés en plusieurs langues et plus obscurcies ou modifiés par des attaquants. AntiShell est capable de détecter webshells quelle que soit la langue. Il est conçu pour décompresser tous les fichiers dans un répertoire spécifié et les examiner ligne par ligne. Il prend en charge de nombreux types de fichiers, tels que php, asp, Perl, Python, Java, txt, fichiers d'images, etc. Lorsque AntiShell découvre un code dangereux, il le signale au serveur maître AntiShell, le classe en fonction du niveau de risque et avertit les administrateurs sur la page d'administration AntiShell.

"Comment pouvons-nous déterminer s'il s'agit d'un WebShell?" Nous avons le savoir-faire pour le déterminer … AntiShell utilise un indice de coïncidence (assigner des poids à chaque programme) et exploite les calculs d'entropie de Shannon pour prendre des décisions précises.

Comme le système d'analyse AntiShell utilise la "vérification différentielle", il ne réexaminera pas le même fichier tant que le fichier n'a pas été modifié. Cela économise du temps et des ressources de performance sur le serveur. Lorsque AntiShell détecte webshells inconnus sur un serveur, il signalera immédiatement ses conclusions détaillées sur le serveur maître. Lorsque des webshells inconnus ont été détectés sur des serveurs ailleurs, le même processus sera effectué. Les informations sont automatiquement envoyées au serveur maître hébergé sur le cloud et seront immédiatement partagées avec tous les agents AntiShell.

Planification de l'analyse en tenant compte de la charge sur le serveur Web

Since files are checked line by line, large files may take some time to complete scanning.

Planification de l'analyse en tenant compte de la charge sur le serveur Web Puisque les fichiers sont vérifiés ligne par ligne, les fichiers volumineux peuvent prendre un certain temps pour terminer l'analyse. * Les analyses de fichiers supplémentaires ne seront effectuées que lorsque les fichiers sont modifiés. Les administrateurs peuvent en outre définir un calendrier d'effectuer des analyses à l'avance par l'interface de gestion AntiShell. Une fois la numérisation terminée, les notifications par e-mail sont automatiquement envoyées aux administrateurs. Les scans peuvent être définis chaque semaine ou tous les mois à des moments spécifiés, aux besoins.

Contrôle d'accès basé sur le rôle sur la console de gestion AntiShell

Les privilèges de gestion sur la console en fonction du rôle de l'utilisateur.

Niveau Gestion des hôtes du serveur Gestion des administrateurs Exécution de balayage Affichage des rapports Support
L'administrateur
Le manager × ×

Les utilisateurs et les privilèges peuvent facilement être gérés sur la page d'administration. Chaque utilisateur peut se voir attribuer des privilèges d'accès sur la console en fonction du rôle. Par exemple, les utilisateurs au niveau de la gestion pourraient voir les rapports mais seraient incapables de gérer (ajouter / supprimer) les hôtes des agents. Dans tous les cas, lorsqu'un webshell est détecté, nous vous aiderons à gérer l'incident.

Pourquoi AntiShell?

AntiShell est le seul service axé sur la suppression des webshells !!

AntiShell est un service spécialisé pour la détection de webshell et est le seul produit se concentrant exclusivement dans cet espace. Les fournisseurs peuvent fournir une détection de webshell comme un « service optionnel supplémentaire » sur des logiciels antivirus existants. Cependant, ceux-ci reposent généralement sur des détections basées sur des signatures dont l'efficacité est limitée. Ces services peuvent également fournir uniquement des capacités de détection avec des frais supplémentaires requis pour l'enlèvement de webshell. D'autre part, AntiShell a la capacité de détecter et d'afficher les fichiers hébergeant le code webshell et de fournir des informations importantes et précises telles que la date / heure de création du fichier, la propriété du fichier et les privilèges, etc. En même temps, cette information est signalée à notre service clientèle afin que nous puissions apporter leur plein appui dans le traitement et enquêter sur l'incident.

Description de fonctionnement étape par étape

1) Les utilisateurs disposant de privilèges pour exécuter les dossiers et fichiers ciblés peuvent lancer l'analyse. L'analyse est possible en temps réel ainsi que via le planificateur. Le balayage est généralement exécutée sur chaque serveur individuellement et une planification peut être définie pour une analyse hebdomadaire ou mensuelle. Les analyses peuvent être appliquées à des hiérarchies de dossiers entières

2) Analyser sur le serveur sélectionné.

3) Une fois l'analyse terminée, AntiShell télécharge les résultats d'analyse sur le serveur de gestion. Les résultats d'analyse et les fichiers identifiés peuvent également être visualisés via la console de gestion. Il est également possible de

4) Lors de l'examen des résultats de l'analyse, les fichiers identifiés peuvent également être soumis à Sandbox Analysis directement à partir de la console de gestion.

5) Les fichiers soumis seront analysés sur notre Sandbox. Les actions correctives recommandées peuvent varier en fonction de l'importance du fichier soumis. Si le fichier de configuration d'Apache est signalé, nous donnerons des

Comment ça marche.

Puisque il existe différents modèles d'attaque, différents types de webshells, le format de signature ne peut pas les gérer. « Comment juger webshell » est la partie essentielle de ce système, étant donné que certaines parties sont le secret d'entreprise, donc nous ne pouvons pas vous dire les détails.

  • Recherche par mot clé
  • Détection basée sur la signature
  • Vérification de la chaîne de caractères la plus longue
  • Calcul de Shannon Entropy pour le code source
  • Indice de Coïncidence ( Peser le poids et mettre sur le classement pour chaque code de programme)

Il traite une grande variété de WebShells bien connus et détecte également WebShell inconnu!
Essayez gratuitement

Achetez AntiShell