反向shell 攻擊是黑客獲得計(jì)算機(jī)控制權(quán)的最常見(jiàn)方式之一。這似乎是一個(gè)奇怪的概念，但它相當(dāng)簡(jiǎn)單：當(dāng)有人設(shè)法進(jìn)入計(jì)算機(jī)并創(chuàng)建與他們的連接時(shí)，就會(huì)創(chuàng)建一個(gè)反向shell。

反向shell 攻擊的目標(biāo)通常是竊取重要數(shù)據(jù)或在受害者的機(jī)器上安裝惡意軟件。然而，與大多數(shù)形式的網(wǎng)絡(luò)犯罪一樣，這些攻擊造成的任何損害都很難追溯到源頭。這給執(zhí)法和數(shù)據(jù)安全專家?guī)?lái)了挑戰(zhàn)，他們通常依靠法醫(yī)證據(jù)來(lái)追查肇事者。

讓我們來(lái)看看反向shell 攻擊以及公司可以采取哪些措施來(lái)保護(hù)自己免受攻擊。

什么是反向Shell 攻擊？

反向shell 攻擊是對(duì)Web 服務(wù)器的常見(jiàn)威脅，尤其是那些運(yùn)行PHP 的服務(wù)器。當(dāng)攻擊者通過(guò)某種遠(yuǎn)程訪問(wèn)方式在服務(wù)器中創(chuàng)建后門(mén)時(shí)，就會(huì)發(fā)生反向shell 攻擊。攻擊者使用該后門(mén)訪問(wèn)服務(wù)器并執(zhí)行命令，就好像他們?cè)诜?wù)器本身上登錄一樣。

黑客使用Python、Java或 Node.js 執(zhí)行反向shell 攻擊，以創(chuàng)建從攻擊者計(jì)算機(jī)返回到受害者計(jì)算機(jī)的連接。之所以稱為反向 shell，是因?yàn)樗试S攻擊者“shellout”他們計(jì)算機(jī)上的當(dāng)前進(jìn)程，并通過(guò)已建立的連接連接回受害者的計(jì)算機(jī)。此時(shí)，他們可以連接到受害者的機(jī)器，就好像他們?cè)谥苯硬僮髂桥_(tái)機(jī)器并且知道它的憑據(jù)一樣。

反向shell攻擊的方法

員工收到一封電子郵件，其中包含附件或鏈接。然后他們單擊附件或鏈接并立即將一些惡意軟件下載到他們的計(jì)算機(jī)上。這就是攻擊者獲得反向 shell 連接的方式。然后攻擊者可以在機(jī)器上執(zhí)行命令并用它做任何他們想做的事。

一旦黑客獲得訪問(wèn)權(quán)限，他們就可以：

?訪問(wèn)公司文件

?竊取敏感的客戶或?qū)Ｓ行畔?/p>

?將其當(dāng)作僵尸對(duì)網(wǎng)絡(luò)中的其他機(jī)器發(fā)起攻擊

這就是為什么必須保護(hù)網(wǎng)絡(luò)免受以反向shell 攻擊形式出現(xiàn)的數(shù)據(jù)泄露的原因。

為什么黑客使用反向Shell攻擊

這是黑客的常用策略，因?yàn)樗试S他們控制計(jì)算機(jī)并竊取信息，而無(wú)需親自到場(chǎng)。它也很難被發(fā)現(xiàn)和停止。

反向shell 通常是更大攻擊的一部分，例如勒索軟件或網(wǎng)絡(luò)釣魚(yú)詐騙。已經(jīng)通過(guò)另一種方法訪問(wèn)系統(tǒng)并希望深入系統(tǒng)而不被發(fā)現(xiàn)的黑客可以使用反向shell 攻擊。使用反向 shell 攻擊的黑客通常非常擅長(zhǎng)編碼，并且能夠識(shí)別目標(biāo)系統(tǒng)中的弱點(diǎn)。

防止反向Shell 攻擊的最佳實(shí)踐

黑客使用反向shell 攻擊的最常見(jiàn)方式是通過(guò)網(wǎng)絡(luò)釣魚(yú)電子郵件或其他社會(huì)工程策略發(fā)送惡意軟件。然后他們會(huì)等到受害者登錄到他們的帳戶并執(zhí)行代碼。然后黑客可以控制該帳戶并竊取他們想要的任何數(shù)據(jù)。

防止此類攻擊的唯一真正方法是安裝強(qiáng)大的安全解決方案并準(zhǔn)備好在整個(gè)網(wǎng)絡(luò)中運(yùn)行。但是，公司可以采取一些措施來(lái)保護(hù)自己：

使用強(qiáng)密碼

強(qiáng)密碼是抵御反向shell攻擊的第一道防線，因?yàn)樗鼈兺ㄟ^(guò)要求對(duì)輸入的每個(gè)字符進(jìn)行多次猜測(cè)來(lái)保護(hù)系統(tǒng)免受暴力攻擊。公司可以使用密碼管理器生成強(qiáng)密碼，或者他們可以使用容易記住但別人很難猜到的隨機(jī)單詞組合。

強(qiáng)密碼應(yīng)該又長(zhǎng)又復(fù)雜（至少12 個(gè)字符長(zhǎng)）；包含數(shù)字和符號(hào)；切勿包含姓名、地址、電話號(hào)碼或生日等個(gè)人信息。它們對(duì)于給定計(jì)算機(jī)上的每個(gè)帳戶也應(yīng)該是唯一的。

定期審核和更新軟件

靜態(tài)應(yīng)用程序安全測(cè)試(SAST) 是一種在部署應(yīng)用程序之前檢測(cè)其安全問(wèn)題的方法。這是一種軟件測(cè)試策略，可在應(yīng)用程序投入生產(chǎn)之前分析代碼中可被利用的漏洞。公司使用 SAST 在網(wǎng)絡(luò)犯罪分子利用漏洞之前識(shí)別和修復(fù)漏洞。

此外，系統(tǒng)管理員需要安裝所有必要的更新。他們還應(yīng)該使用防火墻并定期更新?？紤]安裝入侵檢測(cè)系統(tǒng)(IDS)，這有助于在有人試圖以未經(jīng)授權(quán)的方式訪問(wèn)系統(tǒng)時(shí)發(fā)出警報(bào)。

補(bǔ)丁和升級(jí)發(fā)布后應(yīng)盡快應(yīng)用，因?yàn)檫@些補(bǔ)丁通常是軟件或硬件中已知漏洞的結(jié)果。定期更新軟件對(duì)于安全至關(guān)重要。

小心打開(kāi)電子郵件附件

電子郵件附件是黑客感染計(jì)算機(jī)的常用方式。打開(kāi)附件可能會(huì)讓黑客控制計(jì)算機(jī)并竊取個(gè)人信息或傷害他人。

即使電子郵件看起來(lái)像是來(lái)自朋友或合法公司，也不意味著可以安全打開(kāi)附件。一些網(wǎng)絡(luò)罪犯使用虛假電子郵件誘騙他人打開(kāi)他們的惡意文件。通知員工，如果他們不認(rèn)識(shí)發(fā)件人，就不要打開(kāi)附件！如果他們不確定附件是否真的來(lái)自它看起來(lái)來(lái)自的來(lái)源，他們應(yīng)該在點(diǎn)擊或下載任何內(nèi)容之前與明顯的發(fā)件人或安全團(tuán)隊(duì)核實(shí)。

使用防火墻

使用防火墻也有助于防止反向shell 攻擊。防火墻阻止來(lái)自外部網(wǎng)絡(luò)的流量。如果系統(tǒng)上沒(méi)有開(kāi)放的端口，其他人就無(wú)法使用反向shell 攻擊方法訪問(wèn)它。

一個(gè)好的防火墻可以：

?阻止策略不允許的傳入連接

?除非策略明確允許，否則阻止傳出連接

?監(jiān)控入站和出站流量，以便管理員知道何時(shí)有人試圖在未經(jīng)授權(quán)的情況下訪問(wèn)系統(tǒng)

對(duì)于反向shell 攻擊，這可能意味著知道是否有人試圖從不在允許列表中的IP 地址訪問(wèn)系統(tǒng)。這是在攻擊成功之前檢測(cè)到攻擊的好方法。