美国国家安全局（NSA）和澳大利亚信号局（ASD）已发布联合网络安全信息表（CSI），其中提供了有关威胁行为者利用漏洞在Web服务器上安装Web Shell恶意软件的详细信息。

Web Shell通常部署在受害人的Web服务器上的软件可用于命令执行，从而为攻击者提供对受感染环境的持久访问。可以将通信通道与合法流量混合在一起，以逃避检测。

为了安装Web Shell，攻击者通常将Web应用程序中的漏洞作为目标，或将代码上传到现有的受感染系统。安装后，这些Web Shell可以用作后门或中继节点，以将命令路由到其他系统。

尽管通常预期面向Internet的服务器将被定位为Web Shell安装的目标，但非面向Internet的内部系统也通常也被作为目标，因为由于滞后的补丁程序管理或宽松的安全性要求，内部系统更加脆弱，美国和澳大利亚的外国间谍机构解释（PDF）。

“恶意网络参与者越来越多地利用这种类型的恶意软件来获得对受感染网络的一致访问，同时使用与合法流量完美融合的通信。这意味着攻击者可能会通过HTTPS发送系统命令，或者将命令路由到其他系统，包括内部网络，这可能会显示为正常的网络流量。

CSI包含有关组织如何检测Web Shell，如何防止Web Shell影响其网络以及在遭受攻击后恢复的信息。除了检测技术外，它还包括指向GitHub上维护的签名和列表的链接。

该通报还为安全团队提供了脚本，他们可以使用这些脚本将网站与已知良好的图像进行比较，用于识别Web流量中异常URI的Splunk查询，Internet信息服务（IIS）日志分析工具，常见网络流量的签名。 Web Shell，有关如何识别意外的网络流量和异常进程调用的详细信息，常用的Web应用程序漏洞列表以及用于阻止对Web可访问目录进行更改的HIPS规则。

通常针对的Web应用程序安全漏洞会影响Microsoft SharePoint（CVE-2019-0604）和Exchange Server（CVE-2020-0688），Citrix产品（CVE-2019-19781），Atlassian Confluence（CVE-2019-3396和CVE-2019- 3398）和人群（CVE-2019-11580），WordPress“社会战争”插件（CVE-2019-9978），Progress Telerik UI（CVE-2019-18935，CVE-2017-11317和CVE-2017-11357），Zoho NSA和ASD说明包括ManageEngine（CVE-2020-10189和CVE-2019-8394）和Adobe ColdFusion（CVE-2018-15961）。