すべてのプロダクト
Search

このプロダクト

    Security Center:インメモリwebshell防止機能を使用する

    ドキュメントセンター

    Security Center:インメモリwebshell防止機能を使用する

    最終更新日:Sep 23, 2024

    インメモリウェブシェルは、メモリ内で排他的に実行され、ディスクには書き込まない悪意のあるプログラムです。 この特性により、ステルス攻撃を開始し、従来のウイルス対策方法による検出をバイパスできます。 アプリケーション保護機能は、Runtime application Self-protection (RASP) テクノロジーを使用して、メモリデータを分析し、ブロック注入とインメモリWebシェルの実行を分析することで、インメモリWebシェルを検出します。 このトピックでは、メモリ内のwebshell防止機能を使用する方法について説明します。

    前提条件

    Javaアプリケーションがアプリケーション保護機能に追加され、アプリケーションインスタンスは許可状態になります。 詳細については、「アプリケーション保護機能の使用」をご参照ください。

    仕組み

    インメモリWebシェル防止機能は、必要なアプリケーショングループ内の許可されたアプリケーションインスタンスにインメモリWebシェルが存在するかどうか、およびインメモリWebシェルが注入されて実行されているかどうかを確認できます。 この機能は、次の検出エンジンを使用して保護します。

    • インメモリWebシェル検出: このエンジンは、悪意のあるコードがないかメモリをスキャンして、隠れた脅威を検出し、検出されたインメモリWebシェルに対して生成されたアラートをSecurity Centerコンソールに表示します。 アプリケーショングループでこのエンジンを有効にするには、In-memory Webshell Detectionをオンにします。 image

    • インメモリWebシェル注入: このエンジンは、インメモリWebシェルの注入や実行など、インメモリWebシェルによって引き起こされる動作をリアルタイムで監視およびブロックします。 アプリケーショングループの保護ポリシーで指定された脅威タイプにIn-memory Webshell Injectionが含まれている場合、そのアプリケーショングループに対してこのエンジンを有効にできます。 このエンジンを有効にし、アプリケーショングループの [保護モード] パラメーターを [モニター] に設定すると、このエンジンは脅威が検出されたときにアラートを生成しますが、脅威はブロックしません。 このエンジンを有効にして、アプリケーショングループの [保護モード] パラメーターを [ブロック] に設定すると、このエンジンは不審な呼び出しが検出されたときにアラートを生成し、呼び出しをブロックします。 インメモリWebシェルからさまざまなタイプのミドルウェアを保護するために、このエンジンは次の方法を提供します。

      • インメモリウェブシェルが注入される前にブロックする: アプリケーション保護機能は、機密API機能を監視して、リアルタイムで注入の試みを識別してブロックします。 たとえば、攻撃者が式を実行したり、逆シリアル化攻撃を開始したりすると、この機能は攻撃をブロックします。 これにより、メモリ内のWebシェルがアプリケーションコンテキストに侵入するのを防ぎます。

      • インメモリウェブシェルが実行される前にブロックする: インメモリウェブシェルが最初のブロックフェーズをバイパスしてメモリで実行しようとすると、アプリケーション保護機能はディープラーニングと動作認識テクノロジーを使用してインメモリウェブシェルの実行を検出してブロックします。 このテクノロジーは、既知の悪意のある特性のデータベースと比較することにより、メモリ内Webシェルのアクティブ化と実行を正確に識別して防止します。 プロセス中、通常の業務は中断されません。 インメモリWebシェルがシステムに挿入されても、攻撃者はシステムを制御できません。

    アラートの表示と処理

    デフォルトでは、アプリケーション保護機能により、すべてのアプリケーショングループのメモリ内Webシェル検出が可能になります。 この機能にアプリケーションを追加した後、次の操作を実行して、インメモリWebシェルに対して生成されたアラートを表示および処理できます。

    1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

    2. 左側のナビゲーションウィンドウで、保護設定 > アプリケーション保護.

    3. アプリケーション保護 ページの [In-memory Webshell Prevention] タブで、必要なアプリケーショングループと時間範囲を指定します。

    4. トロイの木馬警告トレンドおよびトロイの木馬のタイプの分布セクションで統計を表示し、次のタブでアラートを表示します。

      • インメモリWebshell検出のアラート: インメモリwebshell検出エンジンによって検出された静的なインメモリwebshellファイルに対して生成されたアラートを表示します。 次のリストは、アラートステータスを示しています。

        • 未処理: メモリ内webshellファイルがメモリ内webshell検出エンジンによって検出されたことを示します。 できるだけ早い機会にアラートを手動で処理する必要があります。

        • 自動: ブロックとラベル付けされています。 このステータスは、インメモリwebshellインジェクションエンジンがインメモリwebshellファイルの実行を検出し、インメモリwebshellの実行をブロックすることを示します。 アプリケーション保護機能は、メモリ内のWebシェルを正確にブロックし、その後の実行をブロックします。 影響を受けるアプリケーションを再起動して、検出されたメモリ内webshellファイルを消去できます。

        • 未処理: Monitoredとしてラベル付けされます。 このステータスは、アプリケーショングループに指定された保護モードに基づいて、メモリ内webshellインジェクションエンジンがアラートをトリガーするメモリ内webshellファイルの実行を検出し、メモリ内webshellの実行をブロックすることを示します。 アプリケーショングループのメモリ内webshell防止機能を有効にできます。

        次のリストは、アラートのアクティブ状態と非アクティブ状態を示しています。

        • 有効: アラートが生成されるアプリケーションインスタンスはオンラインです。

        • Inactive: アラートが生成されるアプリケーションインスタンスはオフラインです。

      • インメモリWebshell挿入のアラート: インメモリwebshell挿入エンジンによって検出された脅威のアラートを表示します。

    5. 管理するアラートを見つけ、[操作] 列の [詳細] をクリックして、検出されたメモリ内Webシェルの [詳細][アラート分析] を表示し、メモリ内Webシェルを処理する必要があるかどうかを判断します。

      • [詳細] タブで、[デコード済みJavaファイル] スイッチを有効にして、メモリで実行中のJavaプログラムのソースコードを表示する必要があります。 このスイッチをオフにすると、Security Centerは逆コンパイルされたコードを表示しません。

      • [アラート分析] タブでは、メモリ内で実行されているコードのAIによる分析と、メモリ内のWebシェルの存在の明確な証拠を確認できます。 この情報により、識別されたメモリ内ウェブシェルが重大な脅威をもたらすかどうかの正確な評価が可能になり、検出能力と応答効率が向上します。

        重要

        [アラート分析] タブにアクセスするには、[拡張Javaファイル] スイッチを有効にする必要があります。 アラート分析機能は、逆コンパイルされたJavaファイルを処理し得る。

    6. 次のいずれかの方法を使用してアラートを処理できます。

      • 検出されたインメモリWebシェルを手動で処理する: オフピーク時間中に影響を受けるアプリケーションを再起動して、インメモリWebシェルをクリアします。 メモリ内のWebシェルをクリアしたら、アラートの処理方法を 処理済みの表示 に設定します。

      • 数回クリックするだけで保護を有効にする: 影響を受けるサーバーが属するアプリケーショングループの保護モードを [ブロック] に変更します。 ブロック保護モードを有効にすると、その後の検出でアプリケーショングループ内のメモリ内Webシェルのすべての注入と実行が自動的にブロックされます。

      • 無視: アラートを処理しない場合は、Security Centerコンソールでアラートの処理方法を無視に設定できます。

      • ホワイトリストにアラートを追加する: 攻撃アラート タブに移動し、必要なアラートを見つけて、[操作] 列の [ハンドル] をクリックしてホワイトリストにアラートを追加します。 詳細については、「ホワイトリストへの攻撃アラートの追加」をご参照ください。

        説明

        メモリ内Webshell検出のアラートをホワイトリストに追加することはできません。

      インメモリwebshell防止機能の有効化または無効化

      アプリケーショングループのメモリ内Webシェル防止機能を有効または無効にできます。 この機能を有効または無効にするには、次の操作を実行します。

      1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

      2. 左側のナビゲーションウィンドウで、保護設定 > アプリケーション保護.

      3. アプリケーション保護 ページの アプリケーションの設定 タブで、管理するアプリケーショングループを見つけ、[操作] 列の 保護ポリシー をクリックします。

      4. 保護ポリシー パネルの [保護ポリシー] タブで、脅威検出タイプにインメモリWebshellインジェクションが含まれる保護ポリシーグループ、または脅威検出タイプにインメモリWebshellインジェクションが含まれない保護ポリシーグループを選択します。

        脅威検出タイプにインメモリWebshellインジェクションが含まれる保護ポリシーグループを選択すると、インメモリwebshellインジェクションエンジンが有効になります。 [保護モード] パラメーターを [モニター] に設定した場合、システムはアラートを生成しますが、脅威はブロックしません。 [保護モード] パラメーターを [ブロック] に設定すると、システムはアラートを生成し、インメモリWebシェルの注入と実行をブロックします。

        image

      5. 保護ポリシー パネルの [検出ポリシー] タブで、トロイの木馬の検出 をオンまたはオフにし、[OK] をクリックします。

        インメモリWebshell検出をオンにすると、システムはアプリケーショングループ内のインメモリWebshellを検出できます。

        image