webshell作为黑客惯用的入侵工具,是以php、asp、jsp、perl、cgi、py等网页文件形式存在的一种命令执行环境。黑客在入侵一个网站服务器后,通常会将webshell后门文件与网站服务器WEB目录下正常网页文件混在一起,通过Web访问webshell后门进行文件上传下载、访问数据库、系统命令调用等各种高危操作,达到非法控制网站服务器的目的,具备威胁程度高,隐蔽性极强等特点。
由于其显著危害性,webshell的检测一直是安全领域一个长盛不衰的话题,宏观上可分为运行前静态检测和运行后动态检测两种。简单来说,黑客入侵web服务器,不管是上传webshell还是在原文件中添加后门,对文件静态属性进行分析的方法属于静态检测;webshell执行时,browser/server数据通过HTTP交互,我们对交互行为和信息进行分析,这类方法统称为动态检测。静态检测方法预测数据采集成本较低且便与部署,缺点是容易被各种混淆及加密方法绕过;采用动态检测理论上可以避免被绕过,但测试数据采集成本较高,需要去搭建一个安全的沙箱环境收集流量特征,缺点是在生产中也只有当webshell活跃状态时才能发挥效果。
1 静态检测思路
1.1 文件名检测
最初人们通过构建一个webshell文件名字典去匹配网页文件名,查看是否存在webshell文件。我一开始是不敢相信的,但这是真的,黑客随便拿一个webshell文件来用,甚至都不需要修改文件名就能达到入侵的目的,可见最初工业界对网络安全的不重视。附上webshell文件名,大家感受下:
渗透小组专用ASP小马
vps提权马
asp一句话
改良的小马
国外免杀大马
backdoor.php
1.2 特征码匹配法
特征码匹配法目前普遍采用的一种静态检测方法,通过对webshell文件进行总结,提取出常见的特征码、特征值、威胁函数形成正则,对整个网页文件进行扫描。特征码匹配的方式优点也是十分突出,能对webshell后门精细化分类具备高可解释行且逻辑结构简单,便于在苏宁安全平台的工程化部署。同时缺点也很明显,对安全专家的知识广度和深度高度依赖,且只能识别已知的webshell模式,同样对混淆加密webshell效果有限。对安全人员来说,维护起来极其繁琐,拆西墙补西墙,陷入不断打补丁的死循环,针对大文件对性能消耗较高。厂家更多情况下是采用正则先做一遍筛选,命中严格正则的直接定性,命中宽泛正则的进一步采取其他分析方式。
rule=r’(array_map[\s\n]{0,20}(.{1,5}(eval|assert|ass\x65rt).{1,20}$(GET|POST|REQUEST).{0,15})’
rule=’(call_user_func[\s\n]{0,25}(.{0,25}$(GET|POST|REQUEST).{0,15})’
rule=’($(GET|POST|REQUEST)[.{0,15}]\s{0,10}(\s{0,10}$(GET|POST|REQUEST).{0,15})’
rule=’(($((GET|POST|REQUEST|SESSION|SERVER)([[’"]{0,1})\w{1,12}([’"]{0,1}])|\w{1,10}))[\s\n]{0,20}([\s\n]{0,20}(@{0,1}$((GET|POST|REQUEST|SESSION|SERVER)([[’"]{0,1})\w{1,12}([’"]{0,1}])|\w{1,10}))[\s\n]{0,5}))’
rule=’\s{0,10}=\s{0,10}[{@]{0,2}($(GET|POST|REQUEST)|file_get_contents|str_replace|["’]a["’].["’]s["’].|["’]e["’].["’]v["’].|["’]ass["’].).{0,10}’
rule=’((eval|assert)[\s|\n]{0,30}([\s|\n]{0,30}(\\{0,1}$(((GET|POST|REQUEST|SESSION|SERVER)([[’"]{0,1})[\w()]{0,15}([’"]{0,1}]))|\w{1,10}))\s{0,5}))’
rule=’((eval|assert)[\s|\n]{0,30}((gzuncompress|gzinflate(){0,1}[\s|\n]{0,30}base64_decode.{0,100})’
rule=’\s{0,10}=\s{0,10}([{@]{0,2}\\{0,1}$(GET|POST|REQUEST)|file_get_contents|["’]a["’].["’]s["’].|["’]e["’].["’]v["’].|["’]ass["’].).{0,20}’
rule=’(include|require)(once){0,1}[\s*]+["|’]+[0-9A-Za-z]