Links para todas as partes:Parte 1. Obtendo Acesso Inicial (Acesso Inicial)Parte 2. ExecuçãoParte 3. Fixação (Persistência)Parte 4. Escalonamento de PrivilégiosParte 5. Evasão de DefesaParte 6. Obtendo credenciais (acesso a credenciais)Parte 7. DescobertaParte 8. Movimento LateralA escalação de privilégios é o resultado de ações que permitem que um invasor ou programa malicioso obtenha um nível mais alto de permissões no sistema ou na rede atacada. As técnicas de escalonamento de privilégios descrevem os métodos pelos quais um adversário, após obter acesso não privilegiado a um sistema atacado, o uso de várias "fraquezas" de um sistema pode obter direitos de administrador, sistema ou raiz locais. O uso por invasores de contas de usuário com direitos de acesso a sistemas ou permissões específicas para executar determinadas operações também pode ser considerado uma escalada de privilégios.
O autor não é responsável pelas possíveis consequências da aplicação das informações contidas no artigo e também se desculpa por eventuais imprecisões feitas em algumas formulações e termos. As informações publicadas são uma recontagem gratuita do conteúdo do MITRE ATT & CK .É importante cancelar que algumas das técnicas descritas na matriz
ATT @ CK sejam incluídas simultaneamente em vários estágios da cadeia de ataques, por exemplo, a interceptação de pesquisa de DLL pode ser usada tanto para proteger o acesso pela execução não autorizada de uma DLL maliciosa quanto para aumentar os privilégios iniciando a DLL no processo, trabalhando no contexto de um usuário mais privilegiado.
Sistema: Windows
Direitos: Usuário, Administrador
Descrição: os invasores podem usar os tokens de acesso para executar ações em vários contextos de segurança do usuário ou do sistema, evitando a detecção de atividades maliciosas. Um adversário pode usar as funções da API do Windows para copiar tokens de acesso de processos existentes (roubo de token), para isso ele deve estar no contexto de um usuário privilegiado (por exemplo, um administrador). O roubo de tokens de acesso é comumente usado para elevar privilégios do nível do administrador para o nível do sistema. Um adversário também pode usar um token de acesso à conta para autenticação em um sistema remoto, se essa conta tiver as permissões necessárias no sistema remoto.
Considere várias maneiras de abusar dos tokens de acesso:
- Roubo e representação de tokens. A representação de tokens é a capacidade do sistema operacional de iniciar encadeamentos em um contexto de segurança que não seja o contexto do processo ao qual esse encadeamento pertence. Em outras palavras, a personificação de tokens permite que você execute qualquer ação em nome de outro usuário. Um adversário pode duplicar um token de acesso usando a função DuplicateTokenEX e usar ImpersonateLoggedOnUser para chamar um thread no contexto de um usuário conectado ou usar SetThreadToken para atribuir um token de acesso a um fluxo.
- Crie um processo usando um token de acesso. Um invasor pode criar um token de acesso usando a função DuplicateTokenEX e usá-lo com CreateProcessWithTokenW para criar um novo processo que é executado no contexto do usuário representado.
- Obtenção e representação de tokens de acesso. Um adversário, com nome de usuário e senha, pode criar uma sessão de logon usando a função API LogonUser , que retornará uma cópia do token de acesso à sessão de uma nova sessão e, em seguida, use a função SetThreadToken para atribuir um token ao thread. O Metasploit Meterpreter e o CobaltStrike possuem ferramentas para manipular tokens de acesso para elevar privilégios.
Recomendações de proteção: para fazer pleno uso das táticas acima, um invasor deve ter direitos de administrador do sistema; portanto, não esqueça de limitar os privilégios de usuários comuns. Qualquer usuário pode enganar os tokens de acesso se tiver credenciais legítimas. Limite a capacidade de usuários e grupos criar tokens de acesso:
GPO: Configuração do computador> [Diretivas]> Configurações do Windows> Configurações de segurança> Diretivas locais> Atribuição de direitos do usuário: Criar um objeto de tokenTambém determine quem pode substituir os tokens de processo dos serviços locais ou de rede:
GPO: Configuração do computador> [Diretivas]> Configurações do Windows> Configurações de segurança> Diretivas locais> Atribuição de direitos do usuário: Substitua um token no nível do processoSistema: Windows
Direitos: Administrador
Descrição: os aplicativos de acessibilidade (ampliador de tela, teclado na tela etc.) podem ser iniciados usando combinações de teclas antes que um usuário faça logon no sistema. Um invasor pode substituir os arquivos de inicialização desses programas ou alterar a maneira como eles são iniciados e abrir um console de comando ou obter um backdoor sem efetuar login.
- C: \ Windows \ System32 \ sethc.exe - iniciado pressionando 5 vezes a tecla Shift;
- C: \ Windows \ System32 \ utilman.exe - iniciado pressionando a combinação de Win + U.
No WinXP e versões posteriores, sethc.exe e utilman.exe podem ser substituídos, por exemplo, por cmd.exe e, quando você pressiona a combinação de teclas desejada, o cmd.exe inicia antes de entrar no Windows com privilégios de sistema.
No Vista e versões posteriores, você precisa alterar a chave do registro que configura o cmd.exe ou outro programa como depurador, por exemplo, para o ultiman.exe. Após editar o registro e pressionar a combinação de teclas desejada na tela de login ou ao conectar-se ao host via RDP, o cmd.exe com direitos do sistema será executado.
Existem também programas do Windows que podem ser usados para implementar esta técnica de ataque:
- C: \ Windows \ System32 \ osk.exe;
- C: \ Windows \ System32 \ Magnify.exe;
- C: \ Windows \ System32 \ Narrator.exe;
- C: \ Windows \ System32 \ DisplaySwitch.exe;
- C: \ Windows \ System32 \ AtBroker.exe.
Recomendações de segurança: configure o início da autenticação de rede obrigatória para usuários remotos antes de criar uma sessão RDP e exibir a tela de login (
ativada por padrão no Windows Vista e posterior ). Use o Gateway de Área de Trabalho Remota para gerenciar conexões e configurar a segurança RDP.
Sistema: Windows
Direitos: Administrador, Sistema
Descrição: as DLLs especificadas no valor da chave AppCertDLLs são carregadas em cada processo que chama as funções de API usadas com freqüência:
CreateProcess, CreateProcessAsUser, CreateProcessWithLoginW, CreateProcessWithTokenW, WinExec . O valor da chave AppCertDLLs pode ser abusado, fazendo com que uma DLL mal-intencionada carregue e execute determinados processos. AppCertDLLs é armazenado na seguinte chave do Registro:
Gerenciador de HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session .
Recomendações de proteção: use todos os meios possíveis para bloquear software potencialmente perigoso e fazer o download de DLLs desconhecidas, como AppLocker e DeviceGuard.
Sistema: Windows
Direitos: Administrador, Sistema
Descrição: as DLLs especificadas no valor da chave AppInit_DLLs são carregadas em cada processo que o user32.dll carrega. Na prática, isso é quase todo programa.
AppInit_DLLs é armazenado nas seguintes chaves do Registro:
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows;
- HKEY_LOCAL_MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \ Windows.
O valor da chave AppInit_DLLs pode ser abusado para exceder os privilégios carregando DLLs maliciosas e iniciando determinados processos. A funcionalidade AppInit_DLLs está desativada no Windows 8 e posterior quando a Inicialização segura está ativada.
Recomendações de proteção: considere usar uma versão do sistema operacional não anterior ao Windows 8 e habilitar a inicialização segura. Use todos os meios para bloquear software potencialmente perigoso e baixar DLLs desconhecidas, como AppLocker e DeviceGuard.
Sistema: Windows
Direitos: Administrador
Descrição: a infraestrutura / estrutura de compatibilidade de aplicativos do Microsoft Windows foi criada para garantir a compatibilidade de programas com atualizações do Windows e alterações no código do SO. O sistema de compatibilidade usa as chamadas shim ("gaxetas") - bibliotecas que atuam como um buffer entre o programa e o sistema operacional. Usando o cache de calço, o sistema determina a necessidade de juntas de calço (armazenadas como um banco de dados .sdb). Vários arquivos .sdb armazenam vários procedimentos para interceptar o código do aplicativo, processá-lo e redirecioná-lo ao sistema operacional. A lista de todas as juntas de vedação instaladas pelo instalador (sdbinst.exe) é armazenada por padrão em:
- % WINDIR% \ AppPatch \ sysmain.sdb ;
- HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ AppCompatFlags \ InstalledSDB .
Os bancos de dados de shim personalizados são armazenados em:
- % WINDIR% \ AppPatch [64] \ Personalizado;
- HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Custom .
Para garantir a proteção no modo de usuário, a capacidade de alterar o kernel do sistema operacional usando juntas de vedação é excluída e são necessários direitos de administrador para instalá-los. No entanto, alguns shim pads podem ser usados para ignorar o Controle de Conta de Usuário (UAC), injeção de DLL, desativar a
Prevenção de Execução de Dados e o
Manuseio de Exceção de Estrutura , bem como interceptar endereços de memória. Um invasor que usa gaxetas de calço pode aumentar os privilégios, instalar backdoors, desativar a proteção do SO, como o Windows Defender.
Recomendações de proteção: Não há muitas maneiras de impedir o desgaste do aplicativo. Desabilitar a compatibilidade de aplicativos não é recomendado para evitar problemas com a estabilidade do sistema operacional. A Microsoft lançou o
KB3045645 , que removerá o sinalizador "elevar automaticamente" no arquivo sdbinst.exe para impedir o uso do sistema de calço para contornar o UAC.
Sistema: Windows
Direitos: Usuário, Administrador
Descrição: existem muitas maneiras de ignorar o UAC, sendo as mais comuns implementadas no projeto
UACMe . Novas maneiras de ignorar o UAC são descobertas regularmente, como abusar do aplicativo de sistema
eventvwr.exe , que pode executar um arquivo binário ou um script elevado. Programas maliciosos também podem ser incorporados em processos confiáveis pelos quais o UAC permite a escalação de privilégios sem solicitar ao usuário.
Para ignorar o UAC usando eventvwr.exe, a chave é modificada no registro do Windows:
Comando [HKEY_CURRENT_USER] \ Software \ Classes \ mscfile \ shell \ open \ .
Para ignorar o UAC usando sdclt.exe, as chaves no registro do Windows são modificadas:
[HKEY_CURRENT_USER] \ Software \ Microsoft \ Windows \ CurrentVersion \ App Paths \ control.exe;
[HKEY_CURRENT_USER] \ Software \ Classes \ exefile \ shell \ runas \ command \ isolatedCommand.Recomendações de proteção: remova usuários do grupo de administradores locais nos sistemas protegidos. Se possível, ative o nível mais alto de proteção nas configurações do UAC.
Sistema: Windows
Direitos: Usuário, Administrador, Sistema
Descrição: a técnica consiste em explorar vulnerabilidades no algoritmo para localizar pelos aplicativos os arquivos DLL que eles precisam para funcionar (
MSA2269637 ). Freqüentemente, o diretório de pesquisa DLL é o diretório de trabalho do programa, portanto, os invasores podem substituir a DLL de origem por uma DLL maliciosa com o mesmo nome de arquivo.
Ataques remotos em pesquisas de DLL podem ser executados quando o programa instala seu diretório atual em um diretório remoto, por exemplo, um compartilhamento de rede. Além disso, os invasores podem alterar diretamente o método de pesquisa e carregamento de DLLs, substituindo os arquivos .manifest ou .local, que descrevem os parâmetros de pesquisa da DLL. Se o programa atacado funcionar com um alto nível de privilégios, a DLL maliciosa carregada por ele também será executada com altos direitos. Nesse caso, a técnica pode ser usada para aumentar os privilégios do usuário para o administrador ou sistema.
Recomendações de proteção: Impeça o carregamento remoto da DLL (ativado por padrão no Windows Server 2012+ e disponível com atualizações para XP + e Server 2003+). Ativa o modo de pesquisa segura para DLLs, que restringe os diretórios de pesquisa a diretórios como
% SYSTEMROOT% antes de executar uma pesquisa DLL no diretório atual do aplicativo.
Habilitando o modo de pesquisa de DLL segura:
Configuração do computador> [Diretivas]> Modelos administrativos> MSS (herdado): MSS: (SafeDllSearchMode) Ative o modo de pesquisa de DLL segura.Chave de registro correspondente:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ SafeDLLSearchMode.Considere auditar um sistema protegido para corrigir deficiências de DLL usando ferramentas como o PowerUP no PowerSploit. Não se esqueça de bloquear software malicioso e potencialmente perigoso, além de seguir
as recomendações da Microsoft .
Sistema: macOS
Direitos: Usuário
Descrição: a técnica é baseada em
vulnerabilidades nos algoritmos de pesquisa da biblioteca dinâmica dylib no macOS e OS X. A linha inferior é determinar o dylib que o aplicativo atacado carrega e, em seguida, coloque a versão mal-intencionada do dylib com o mesmo nome no diretório de trabalho do aplicativo. Isso fará com que o aplicativo carregue o dylib, localizado no diretório de trabalho do programa. Nesse caso, o Dylib malicioso será executado com os direitos de acesso do aplicativo atacado.
Dicas de segurança
: Impeça que os usuários gravem arquivos nos diretórios de pesquisa do dylib. Audite as vulnerabilidades usando o
Dylib Hijacking Scanner da Objective-See.
Sistema: Windows, Linux, macOS
Direitos: Usuário
Descrição: os oponentes podem aumentar os privilégios no sistema atacado usando vulnerabilidades no software.
Recomendações de proteção: Atualizações regulares de software em todas as estações de trabalho, servidores, equipamentos de rede e outros dispositivos conectados à rede protegida. Analise os tipos de ameaças, vulnerabilidades e programas de exploração que podem ser usados na organização protegida. Também são recomendados sistemas de proteção contra exploração, como o
Windows Defender Exploit Guard (WDEG) para Windows 10 ou o
EMET (Enhanced Mitigation Experience Toolkit) para versões anteriores do Windows.
h3
EWM Injection (injeção de memória extra na janela)Sistema: Windows
Direitos: Administrador, Sistema
Descrição: a técnica é o abuso de memória adicional da janela do Windows, a chamada Memória Extra da Janela (EWM). O tamanho do EWM é de 40 bytes, adequado para armazenar um ponteiro de 32 bits e geralmente é usado para indicar uma referência aos procedimentos. Programas maliciosos durante a cadeia de ataques podem apontar para códigos maliciosos no EWM, que será iniciado posteriormente pelo processo do aplicativo infectado.
Recomendações de proteção: Como as técnicas de injeção de EWM são baseadas no abuso das funções de desenvolvimento do sistema operacional, os esforços de proteção devem ser direcionados para impedir o lançamento de programas e ferramentas maliciosas. É uma boa prática identificar e bloquear softwares potencialmente perigosos usando o AppLocker, aplicativos da lista de permissões ou aplicar Políticas de Restrição de Software.
Sistema: Windows
Direitos: Usuário, Administrador
Descrição: a essência da técnica é a substituição de arquivos executáveis iniciados automaticamente por vários processos (por exemplo, quando o SO é inicializado ou em um determinado momento, se os direitos dos arquivos executáveis estiverem configurados incorretamente). Após a falsificação, o arquivo malicioso será iniciado com os direitos do processo; portanto, se o processo tiver um nível de acesso mais alto, o invasor poderá escalar os privilégios. Nessa técnica, os invasores podem tentar manipular os arquivos binários do serviço Windows.
Outra variante do ataque está associada às deficiências dos algoritmos no trabalho dos instaladores de extração automática. Durante o processo de instalação, os instaladores geralmente descompactam vários arquivos úteis, incluindo .dll e .exe, no diretório% TEMP%; no entanto, eles podem não definir as permissões apropriadas para restringir o acesso aos arquivos descompactados, o que permite que os invasores executem a falsificação de arquivos e, como resultado, aumente os privilégios ou ignore o controle da conta, alguns instaladores são executados com privilégios estendidos.
Recomendações de proteção: limite os privilégios da conta para que apenas os administradores possam gerenciar serviços e interagir com os arquivos binários usados pelos serviços. Desative as opções de escalação de privilégios do UAC para usuários padrão. As configurações do UAC são armazenadas na seguinte chave do Registro:
- [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System] .
Para rejeitar automaticamente solicitações de escalação de privilégios, você deve adicionar uma chave:
- "ConsentPromptBehaviorUser" = dword: 00000000.
Para controlar o trabalho dos instaladores, você precisa adicionar uma chave:
- "EnableInstallerDetection" = dword: 00000001 , que exigirá uma senha para instalar os programas.
Sistema: Windows
Direitos: Administrador, Sistema
Descrição: as funções da API do Windows geralmente são armazenadas em DLLs. A técnica de conectar é redirecionar chamadas para funções da API:
- Procedimentos de gancho - procedimentos integrados ao sistema operacional que executam código quando vários eventos são chamados, por exemplo, pressionamentos de tecla ou movimentação do mouse;
- Modificações na tabela de endereços (IAT), que armazena ponteiros para funções da API. Isso permitirá que você “engane” o aplicativo atacado, forçando-o a iniciar uma função maliciosa;
- Alteração direta da função (emenda), durante a qual os primeiros 5 bytes da função são alterados, em vez da inserção da transição para uma função maliciosa ou outra determinada pelo invasor.
Como as injeções, os atacantes podem usar o gancho para executar códigos maliciosos, mascarar sua execução, acessar a memória do processo atacado e aumentar privilégios. Os invasores podem capturar chamadas de API que incluem parâmetros que contêm dados de autenticação. A conexão é geralmente usada pelos rootkits para ocultar atividades maliciosas no sistema.
: , , . . hooking- SetWindowsHookEx SetWinEventHook, , .
: Windows
: , System
: Image File Execution Options (IFEO) , :
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options/[executable]
- HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[executable] , [executable] — .
,
[executable] , . IFEO , , .
: , - , , . IFEO- .
Debug_process Debug_only_this_process .
: macOS
:: — Launch Daemon, plist-. Launchd () plist- :
- /System/Library/LaunchDeamons;
- /Library/LaunchDeamons.
Launch Daemon , root, . plist- root:while, , , . , plist, , , .
: , Launch Daemon. plist- KnockKnock.
: Windows
: , System
: , . , . , System. , Windows API Windows PowerShell.
: , . AppLocker
Software Restriction Policy .
: Windows
: , , system
: , . :
- . , , C:\Program Files\service.exe , C:\Program.exe , Windows .
- . PATH C:\example c:\Windows\System32 C:\example\net.exe , net, C:\example\net.exe , c:\Windows\System32\net.exe .
- (Search order hijacking). , Windows, , , . , «example.exe» cmd.exe net use. example.exe net.exe c:\Windows\System32\net.exe . , net.com net.exe, Windows net.com , PATHEXT.
DLL DLL Search Hijacking .: , , , PATH, . . , , , . :\ Windows, .
: macOS
: ,
: plist-, . plist,
/Library/Preferences , plist
~/Library/Preferences .
: plist, .
: Windows
: , System
: DLL System Windows (Spoolsv.exe). Spoolsv.exe (port monitor) — DLL-, LAN, USB, LPT COM- . DLL
C:\windows\system32 :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors .
Port Monitor API AddMonitor .
: - .
: Windows, Linux, macOS
: , , system, root
: — . , / , , . . , . .
Windows• DLL-. DLL (Remote thread — , ). , DLL, CreateRemoteTread, LoadLibrary .
• PE- (Portable executable injection) PE-, DLL EXE. - , .
• (Thread execution hijacking) DLL . Process Hollowing, .
• (Asynchronous Procedure Call (APC) injection) APC- (APC Queue) . APC-, « (Earle Bird injection)», APC. AtomBombing — , APC , (Global atom table).
• (Thread Local Storage (TLS) injection) PE- .
Mac Linux• LD_RPELOAD, LD_LIBRARY_PATH (Linux), DYLIB_INSERT_LIBRARIES (macOS X) dlfcn (API) ( ) , API .
• Ptrace .
• /proc/[pid]/mem / , - .
• VDSO (Virtual dynamic shared object) ELF, linux-vdso.so.
, . .
: . . - , AppLocker. Yama ptrace, ptrace . , . SELinux, grsecurity, AppArmor.
: Windows
: ,
: , SID, objectSID. SID sIDHistory, , . , , SID-History SID, , .
: Windows Server 2003 SID (SID Filtering), SID, , , .
SID:
• SIDHistory () :
netdom trust /domain: /EnableSIDHistory:no ;
•
SID Filter Quarantining . , , SID, , . SID Filter Quarantining :
netdom trust /domain: /quarantine:yes .
SID Filtering . , , , SID Filtering .
: Windows
: , ,
: at, schtasks Windows , . , , RPC, . . System .
: . , PowerUP PowerSploit, . System, "
" "
: ".
: Windows
: , System
: Windows , , , — sc.exe, PowerShell Reg. , , , FailureCommand, , .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services .
: , , . - , , Windows AppLocker.
: Linux, macOS
:: Setuid Setgid — Unix-, . root, , sudo, Setuid Setgid. Setuid Setgid shell escape (, - ) Setuid Setgid . ls -l «s» «x». chmod Setuid Setgid
chmod 4777 [] chmod u + s [] .
: Setuid Setgid .
: macOS
:: , macOS Sierra, StartupItems root . StartupItems —
/Library/Startupitems , StartupParameters.plist. :
/Library/Startupitems/[MyStartupItem] .
: StartupItems ,
/Library/Startupitems/ .
: Linux, macOS
:: Sudo . Sudo
/etc/sudoers , . sudoers , . , sudoers , :
username ALL=(ALL) NOPASSWD: ALL .
: sudoers , Sudo. Auditd Linux , ID ( , sudo).
Sistema: Linux, macOS
Direitos: Usuário
Descrição: vários malwares, como o
OCX Proton Malware , podem abusar das configurações do sudo para executar o código como root sem inserir uma senha. Como o sudo toolkit foi criado para administração do sistema, ele possui algumas funções úteis, como
timestamp_timeout - esse parâmetro armazena a quantidade de tempo em minutos entre o início do sudo, durante o qual o comando não solicita a senha root. O Sudo conseguiu armazenar credenciais em cache por algum tempo. O registro de data e hora da última inicialização do Sudo é armazenado em
/ var / db / sudo e é usado para determinar o tempo limite especificado. Além disso, há uma variável
tty_tickets que processa cada nova sessão do terminal isoladamente; portanto, um tempo limite em uma instância do console não afetará o tempo limite em outra instância.
Recomendações de proteção: Defina o parâmetro
timestamp_timeout = 0 para que o sistema exija uma senha root toda vez que o sudo for executado. Ative o parâmetro
tty_tickets para impedir que o ataque seja implementado por meio de sessões da linha de comandos.
Descrição: os invasores podem roubar as credenciais de uma conta de usuário ou serviço específica usando as técnicas de acesso a credenciais, capturar as credenciais durante o processo de inteligência usando engenharia social. As credenciais comprometidas podem ser usadas para ignorar os sistemas de controle de acesso e obter acesso a sistemas remotos e serviços externos, como VPN, OWA, Área de Trabalho Remota, ou para obter privilégios elevados em sistemas e áreas específicos da rede. Se o cenário for bem-sucedido, os invasores podem recusar malware para dificultar a detecção. Além disso, os invasores podem criar contas usando nomes e senhas predefinidos para manter o acesso ao backup em caso de tentativas frustradas de usar outros meios.
Recomendações de proteção: aplique uma política de senha, siga as recomendações para projetar e administrar uma rede corporativa para limitar o uso de contas privilegiadas em todos os níveis administrativos. Verificações regulares de contas locais e de domínio e seus direitos, a fim de identificar aquelas que podem permitir que um invasor obtenha amplo acesso. Monitorando a atividade da conta usando sistemas SIEM.
Sistema: Windows, Linux, macOS
Descrição: o Web Shell pode ser usado por um invasor como um gateway para acessar sua rede ou acesso redundante ao sistema atacado, como um mecanismo de backup para proteção em caso de detecção e bloqueio dos principais canais de acesso ao ambiente atacado.
Recomendações de proteção: verifique se os servidores Web externos são atualizados regularmente e se não há vulnerabilidades conhecidas que permitam que os invasores carreguem um arquivo ou script no servidor com a execução subsequente. Verifique se as permissões de contas e grupos com direitos de gerenciamento de servidor não correspondem às contas de rede internas que podem ser usadas para efetuar login no servidor da Web, iniciar o shell da Web ou fixar no servidor da Web. O Web Shell é difícil de detectar porque eles não iniciam conexões e seu lado do servidor pode ser pequeno e inofensivo, por exemplo, a versão PHP do shell China Chopper Web se parece com uma linha:
[? php eval ($ _POST ['senha']);]