这些后门允许攻击者完全访问网站文件系统。它们往往具有强大的功能,并且经常为攻击者提供环境的完整诊断服务器操作系统、 版本等。它们允许攻击者根据环境更改文件的权限并遍历到相邻的网站/目录。 这些后门允许任何知道正确参数的攻击者向受害者网站发送请求。
后门将尝试执行攻击者发出的命令。它们可以处理各种不同类型的请求,例如 、,甚至 。 在清理 委内瑞拉 WhatsApp 号码列表 时未检测到后门的受感染网站通常包含恶意管理员用户。 新兴后门 年,我们的研究团队为之前未检测到的新后门编写了 多个新签名。
它们各样的功能和技术,但它们的共同点是它们的单一目的保持对受感染环境的访问,以便它们可以传播其有效负载或在以后重新感染。 到目前为止,我们为其生成新签名的两种最常见的后门类型是上传程序和 。
它们合计占 年发现的所有新后门的近一半。 恶意文件上传脚本 顾名思义,这种恶意代码允许拥有正确路径和参数的攻击者将恶意文件上传到网站。这些可用于将黑客工具、 或垃圾邮件投放到受感染的环境中。 功能齐全的恶意 该 充当网站文件系统的仪表板界面,本质上允许攻击者执行编辑、存档、复制或更改文件权限等功能。
虽然设置恶意域来托管网络钓鱼或其他合法网站的子域,来自受感染的 帐户甚至受感染的 区域的情况并不少见,但总的来说,我们看到的是被黑客攻击来托管网络钓鱼内容的合法网站。这使攻击者与其有效负载保持距离,使他们能够避免罪责并降低成本。
|