怎樣從流量中檢測(cè)WebShell

怎樣從流量中檢測(cè)WebShell，相信很多沒有經(jīng)驗(yàn)的人對(duì)此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個(gè)問題。

成都創(chuàng)新互聯(lián)是一家專注于做網(wǎng)站、網(wǎng)站建設(shè)與策劃設(shè)計(jì),郎溪網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)十多年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:郎溪等地區(qū)。郎溪做網(wǎng)站價(jià)格咨詢:18982081108

HW期間，為防范釣魚，即日起FreeBuf將取消投稿文章的一切外部鏈接。給您帶來的不便，敬請(qǐng)諒解~

背景

眾所周知，攻防演練過程中，攻擊隊(duì)入侵企業(yè)網(wǎng)站時(shí)，通常要通過各種方式獲取 webshell，從而獲得企業(yè)網(wǎng)站的控制權(quán)，然后方便實(shí)施之后的入侵行為。在冰蝎、哥斯拉這類加密型 webshell 工具出現(xiàn)之前，中國菜刀、蟻劍這類工具常被攻擊隊(duì)使用，與菜刀和蟻劍不同，冰蝎和哥斯拉使用加密隧道傳輸數(shù)據(jù)，不易被安全設(shè)備發(fā)現(xiàn)，同時(shí)，無文件內(nèi)存 webshell 的興起，給檢測(cè)帶來了更大的壓力。因此，對(duì)這類加密型 webshell 和無文件內(nèi)存 webshell 的檢測(cè)是非常有必要的。

難點(diǎn)

當(dāng)前，這類加密型 webshell 檢測(cè)存在以下難點(diǎn)：

• 使用加密隧道傳輸數(shù)據(jù)，無明文通訊特征。

• 內(nèi)存 webshell 無文件落地。

目標(biāo)

通過攻防演練的實(shí)踐，總結(jié)一套關(guān)于加密 webshell 和內(nèi)存 webshell 的檢測(cè)方法，分析和總結(jié)該類 webshell 通訊特征，通過流量及時(shí)準(zhǔn)確的發(fā)現(xiàn)主機(jī)失情況，及時(shí)處理。

方法論

當(dāng)出現(xiàn)一個(gè)新型 webshell 工具時(shí)，我們可以通過如下幾個(gè)方面總結(jié)相關(guān)特征，從而實(shí)現(xiàn)相關(guān)檢測(cè)。

• webshell 樣本：分析 webshell 的執(zhí)行邏輯，提取 webshell 執(zhí)行過程中必須存在的函數(shù)、參數(shù)，對(duì)該類 webshell 實(shí)現(xiàn)上傳、寫入的檢測(cè)。

• 通訊過程中必存在參數(shù)：分析 webshell 服務(wù)端和客戶端，提取因?qū)崿F(xiàn)問題而在交互過程中必須存在的參數(shù)。

• 加密算法特征：分析該 webshell 通訊過程中的加密方法，獲取該加密方法生成的密文所在集合。

• 工具本身 bug：因?yàn)楣ぞ呤侨肆﹂_發(fā)的，難以避免會(huì)存在一些 bug，這些 bug 可以成為識(shí)別該類工具的特征。

• 與正常業(yè)務(wù)不符：分析通訊過程中，該 webshell 和正常業(yè)務(wù)的不同，可以粗略的篩選出可能異常的通訊。

案例

我們將從以上方法論總結(jié)的幾種方法，舉例說明如何提取特征。

上傳樣本

可以通過對(duì)上傳的樣本進(jìn)行檢測(cè)，從而發(fā)現(xiàn)威脅。我們可以通過分析這類 webshell 工具的源碼，提取生成的 webshell 的特征，從而實(shí)現(xiàn)檢測(cè)。以下以哥斯拉為例，可以看到其生成  webshell 時(shí)導(dǎo)入一個(gè)模板，根據(jù)模板生成相應(yīng)的 webshell，所以我們總結(jié)生成模板的特征，即可對(duì)這類上傳行為進(jìn)行準(zhǔn)確的檢測(cè)。

通訊過程中必存在參數(shù)

在冰蝎 3.0 的服務(wù)端，是通過如下代碼讀取 post 請(qǐng)求。

request.getReader().readLine()

代碼的意思是，直接讀取 post 請(qǐng)求中 body 的內(nèi)容。所以請(qǐng)求的 http 中，content-type 一定為 application/octet-stream。否則就會(huì)出現(xiàn)非預(yù)期 http 編碼的情況。這類特征屬于通訊過程中必存在參數(shù)，可以通過這類特征的組合，對(duì)相關(guān) webshell 通訊進(jìn)行檢測(cè)（這里僅做舉例，這類檢測(cè)肯定為多特征結(jié)合）。

加密方法存在的一些弱特征

冰蝎通訊時(shí)，會(huì)建立加密通訊隧道，主要請(qǐng)求體和返回體內(nèi)容有如下三種情況：

請(qǐng)求體加密方式	返回體加密方式
AES  后 Base64	AES  后 Base64
AES  后 Base64	AES
AES	AES

對(duì)于 AES 后 Base64 加密，其加密后所有值落在 [a-zA-Z0-9+\=]，很容易通過正則去覆蓋。

對(duì)于 AES 加密，其加密后的值無 Base64 中相關(guān)特征，但是，可以明顯看出，密文內(nèi)容中不可見字符明顯增多。可以通過不可見字符進(jìn)行檢測(cè)，從而覆蓋對(duì) AES 這類加密后的請(qǐng)求體或返回體的識(shí)別。

這類僅為一些弱特征，僅舉例說明，需要多特征組合，才能實(shí)現(xiàn)準(zhǔn)確的檢測(cè)。

工具本身的 bug

這類工具都是人力開發(fā)的，難免存在一些 bug，我們可以通過找到這些 bug，從而在流量中識(shí)別出該類工具。如在冰蝎某一版本中，php 相關(guān) webshell 通訊在一個(gè) http 請(qǐng)求報(bào)文中存在兩個(gè) PHPSESSID，這屬于工具的 bug，可以通過該 bug 以及其他一些特征，識(shí)別出該工具。

與正常業(yè)務(wù)不符

對(duì)于無文件內(nèi)存 webshell，攻擊者為了隱藏攻擊行為，將注入 webshell 的路徑選為靜態(tài)文件路徑，如 jpg、ico、png 等，但這樣就會(huì)存在一些異于正常的行為，如請(qǐng)求靜態(tài)文件返回內(nèi)容不同、帶請(qǐng)求體請(qǐng)求靜態(tài)文件等。以下為一個(gè)冰蝎內(nèi)存 webshell 的示例。

在本文中，我們總結(jié)了從流量中尋找加密型 webshell 和無文件內(nèi)存 webshell 的特征方法，分別是：

• webshell 樣本

• 通訊過程中必存在參數(shù)

• 加密方法特征

• 工具本身的 bug

• 與正常業(yè)務(wù)不符

在實(shí)戰(zhàn)測(cè)試中，通過上述幾點(diǎn)，對(duì)加密型 webshell 和無文件內(nèi)存 webshell 的通訊流量進(jìn)行分析，總結(jié)相關(guān)弱特征和強(qiáng)特征，多種特征結(jié)合，可以準(zhǔn)確識(shí)別這類 webshell 的通訊過程，及時(shí)處置和發(fā)現(xiàn)失陷主機(jī)。

看完上述內(nèi)容，你們掌握怎樣從流量中檢測(cè)WebShell的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

網(wǎng)頁標(biāo)題：怎樣從流量中檢測(cè)WebShell
當(dāng)前URL：http://muchs.cn/article34/pichse.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App設(shè)計(jì)、外貿(mào)網(wǎng)站建設(shè)、建站公司、靜態(tài)網(wǎng)站、、網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)