Pazartesi , 28 Eylül 2020
Home » Cyber Security » Web Shell Tespit Araçları
Web Shell Tespit Araçları 1 – cropped shell11
web-shell

Web Shell Tespit Araçları

APT gruplarının saldırıları incelendiğinde saldırıların ilk olarak “DMZ” network’ünden yani ağın dışarıya açık olan kısmından geldiği görülmektedir. DMZ network’ünde genellikle mail ve web sunucular yer almaktadır. Saldırgan DMZ alanında bulunan web sunucuyu hedef aldığını ve bu web sunucu üzerinde ise kurumumuzun web sitesini veya dışarı açık bir API servisinin çalıştığını varsayalım. Saldırgan Local File Inclusion, Remote File Inclusion veya Unrestricted File Upload güvenlik açıklarını kullanarak DMZ network’üne girecektir. Sisteme girebilmek için “Web Shell” denilen kod dosyası sisteme yüklenir ve uzaktan çalıştırılarak sistem üzerinde shell denilen komut ekranına ulaşılır. Bir çok web shell kodu vardır ve farklı platformlar için farklı farklı kodlar yazılabilir. Genellikle PHP, Perl, Python, ASP/.NET vb. programlama dilleri kullanılarak yazılırlar. Local, Remote, Root vb. türleri vardır.

Çoğunlukla sitelere yapılan saldırılarda aşağıdaki web shellerin kullanıldığı görülmektedir.

  • C99
  • R57
  • Kali OS’da hazır bulunan web sheller vb.

Shelleri incelemek için araştırma yapabilir ancak cihazınıza indirmeniz ve çalıştırmanız tavsiye edilmemektedir.

APT gruplarının web shell yükleme ile yaptıkları saldırı teknikleri aşağıdaki adresten incelenebilir.

https://www.us-cert.gov/ncas/alerts/TA15-314A

Web shell tespiti için aşağıdaki araçlar kullanılabilir.

Neopi

https://github.com/Neohapsis/NeoPI

Taramak istenilen dizin bilgisi -A ve -a parametreleri ile girildiğinde tarama işlemi başlayacaktır. İşlemi tamamlandığında tespit edilebilen web sheller ekranda listelenecektir. Bu araç Python 2.7 yüklü cihazlar üzerinden çalıştırılabilir.

Web Shell Tespit Araçları 2 – foto11
Neopi

Backdoorman

Linux ortamında çalışmaktadır. Virustotal gibi apileri kullanarak web shell tespit etmeye çalışmaktadır.

https://github.com/cys3c/BackdoorMan

Web Shell Tespit Araçları 3 – foto41
Backdoorman

Webshell Detector

Php, perl, aspx gibi web shell dosyalarını tespit edebilmektedir.

https://github.com/emposha/Shell-Detector

Web Shell Tespit Araçları 4 – foto71
Webshell Detector

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir