Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Reverse Shell – Übersicht

Eine Reverse-Shell ermöglicht es dem Angreifer, Firewalls und andere Sicherheitsmechanismen zu umgehen, um die Ports zum Zielsystem zu öffnen.

Wenn ein Angreifer eine Sicherheitsanfälligkeit bezüglich Codeausführung auf dem Zielsystem ausnutzt, führt er ein Skript aus, das eine Reverse-Shell-Sitzung zum C&C-Server (Command and Control) startet. Dadurch erhalten sie Fernzugriff auf das kompromittierte System. Die Angreifer können jeden beliebigen Befehl ausführen und die Ausgabe vom System erhalten. Die Firewall der SRX-Serie analysiert das Datenverkehrsmuster zwischen dem Client und dem Server über einen kurzen Zeitraum, um die umgekehrten Shell-Sitzungen zu identifizieren. Anschließend wird die konfigurierte Abhilfemaßnahme ausgeführt.

Vorteile der Reverse-Shell-Erkennung

Hilft Ihnen, Shell-Angriffe zu erkennen und potenziellen Datendiebstahl zu verhindern.

Um auf die Seite "Reverse Shell" zuzugreifen, navigieren Sie zu "Monitor > Reverse Shell".

Diese Seite enthält eine Liste der Ziel-IP-Adressen, Zielports, Quell-IP-Adressen und Quellports, die Teil der Reverse-Shell-Kommunikation waren. Siehe Abbildung 1.

Abbildung 1: Umgekehrte Schale Reverse Shell
Tabelle 1: Datenfelder der Shell-Seite umkehren
Felddefinition
Ziel-IP Die IP-Adresse des C&C-Servers des Angreifers
Zielhafen Der Port des C&C-Servers des Angreifers
Quell-IP Die IP-Adresse des Zielsystems in der umgekehrten Shell-Sitzung.
Quellport Der Port, den die Angreifer für den Versuch der umgekehrten Shell-Kommunikation verwendeten.
Zeitstempel Datum und Uhrzeit des Starts der umgekehrten Shellsitzung.
TCP-Sitzungs-ID Die Sitzungs-ID, die dem C&C-Server des Angreifers zugewiesen ist
Bedrohungsstufe Die Bedrohungsstufe des C&C-Servers des Angreifers basierend auf der Analyse.
Aktion Die Aktion, die für die umgekehrte Shellsitzung ausgeführt wird: zulassen oder blockieren.
Eingehende Pakete(#) Die Anzahl der eingehenden Pakete auf dem Zielsystem.
Durchschnittliche Größe Die durchschnittliche Größe der eingehenden Pakete.
Ausgehende Pakete(#) Die Anzahl der ausgehenden Pakete aus dem Zielsystem.
Durchschnittliche Größe Die durchschnittliche Größe der ausgehenden Pakete.

Sie können die Ziel-IP-Adressen auswählen und zu den Zulassungslisten hinzufügen, wenn sie nicht bösartig sind. So fügen Sie die Ziel-IP-Adresse zu den Zulassungslisten hinzu:

  1. Wählen Sie Monitor > Reverse Shell aus.

    Die Seite "Shell umkehren" wird angezeigt.

  2. Wählen Sie die Ziel-IP-Adresse aus, die Sie den Zulassungslisten hinzufügen möchten, und klicken Sie dann auf Zur Zulassungsliste hinzufügen.

    Es wird ein Pop-up-Fenster angezeigt, in dem Sie aufgefordert werden, die Auswahl zu bestätigen.

  3. Klicken Sie auf Ja.

    Die ausgewählte Ziel-IP-Adresse wird den Zulassungslisten hinzugefügt.

Informationen zur Konfiguration der Reverse-Shell-Erkennung an Firewalls der SRX-Serie finden Sie im Administratorhandbuch für Juniper Advanced Threat Prevention.

Zugehörige Dokumentation