对于攻击者来说,后门是一个重要的工具,我们的分析师通常会在许多其他类型的恶意软件中发现后门。该恶意软件绕过常规访问通道,授予攻击者对网站后端的完全访问权限。安装后,后门可用于在感染发生后很长时间内保持对受感染环境的访问,从而使攻击者在有效负载被删除后很容易重新感染站点。 我们分析了 年检测和清理的不同类型后门,发现了以下分布。
上传程序:一种后门,允许攻击者将文件上传到受害者环境。与具有上传 意大利移动的数字 功能的合法文件不同,恶意上传者对文件扩展名类型没有任何限制。这些允许攻击者上传他们选择的任何文件,并且通常会使用完整的 Webshell 来接管环境。 Webshell:这些后门允许攻击者完全访问网站文件系统。它们往往具有强大的功能,并且经常为攻击者提供环境的完整诊断(服务器操作系统、 版本等)。
 更改文件的权限并遍历到相邻的网站目录。 RCE:这些后门允许任何知道正确参数的攻击者向受害者网站发送请求。后门将尝试执行攻击者发出的命令。它们可以处理各种不同类型的请求,例如 POST、GET,甚至 。 在清理时未检测到后门的受感染网站通常包含恶意管理员用户。 新兴后门 年,我们的研究团队为之前未检测到的新后门编写了 多个新签名。
| 
發表於 2024-4-27 18:20:22
收藏