Webshell的檢測

標籤：缺點   服務   set   優點   app   ges   系統命令   nat   混淆代碼   

原文地址：http://www.freebuf.com/articles/others-articles/71604.html
（原文主要是針對竊密型Webshell的檢測來討論的，開篇部分先介紹了傳統的檢測Webshell的方法，之後找出傳統方法的不足，提出針對竊密webshell的新方法，這篇文章主要把精力放在其對傳統方法的介紹上）
目前針對Webshell的特徵檢測一般是通過特徵比對及檔案屬性異常的靜態檢測和基於訪問情況、行為模式特徵的動態檢測方式進行查殺。

一、傳統及現有的檢測方法
1.靜態檢測
靜態特徵檢測是指對指令檔中所使用的關鍵詞、高危函數、檔案修改的時間、檔案許可權、檔案的所有者以及和其它檔案的關聯性等多個維度特徵進行檢測，即先建立一個惡意字串特徵庫，例如："組專用大馬|提權|木馬|PHP\s?反彈提權cmd執行"，"WScript.Shell、Shell.Application、Eval()、Excute()、Set Server、Run()、Exec()、ShellExcute()"，同時對WEB檔案修改時間、檔案許可權以及檔案所有者等進行確認。通常情況下WEB檔案不會包含上述特徵或者特徵異常，通過與特徵庫的比對檢索出高危指令檔。
該檢測方法的優點：可快速檢測，快速定位；
缺點：容易誤判，無法對加密或者經過特殊處理的Webshell檔案進行檢測。尤其是針對竊密型Webshell無法做到準確的檢測，因為竊密型Webshell通常具有和正常的WEB指令檔具有相似的特徵。

2.動態檢測
動態特徵檢測通過Webshell運行時使用的系統命令或者網路流量及狀態的異常來判斷動作的威脅程度，Webshell通常會被加密從而避免靜態特徵的檢測，當Webshell運行時就必須向系統發送系統命令來達到控制系統或者操作資料庫的目的，通過檢測系統調用來監測甚至攔截系統命令被執行，從行為模式上深度檢測指令碼的安全性。
優點：可用於網站集合群，對新型變種指令碼有一定的檢測能力
缺點：針對特定用途的後門較難檢測，實施難度較大

3.日誌分析
使用Webshell一般不會在系統日誌中留下記錄，但是會在網站的web日誌中留下Webshell頁面的訪問資料和資料提交記錄。日誌分析檢測技術通過大量的記錄檔建立請求模型從而檢測出異常檔案，稱之為：HTTP異常請求模型檢測。例如：一個平時是GET的請求突然有了POST請求並且傳回碼為200、某個頁面的訪問者IP、訪問時間具有規律性等。
優點：採用了一定資料分析的方式，網站的訪問量達到一定量級時這種檢測方法的結果具有較大參考價值。
缺點：存在一定誤判，對於大量的訪問日誌，偵查工具的處理能力和效率會比較低。

4.統計學
在Webshell後門檢測中被使用較為廣泛的一種方法是統計學方法，NeoPi是國外流行的一個基於統計學的Webshell後門偵查工具，它使用五種統計學方法在指令檔中搜尋潛在的被混淆或被編碼的惡意代碼。
NeoPi使用以下五種檢測方法：
*資訊熵(Entropy):通過使用ASCII碼錶來衡量檔案的不確定性；
*最長單詞(LongestWord):最長的字串也許潛在的被編碼或被混淆；
*重合指數(Indexof Coincidence):低重合指數預示檔案代碼潛在的被加密或被混效過；
*特徵(Signature):在檔案中搜尋已知的惡意代碼字串片段；
*壓縮(Compression):對比檔案的壓縮比。
採用這種檢測方法也存在明顯的弱點，NeoPi的檢測重心在於識別混淆代碼，它常常在識別模糊代碼或者混淆編排的木馬方面表現良好。未經模糊處理的代碼對於NeoPi的檢測機制較為透明。如果代碼整合於系統中的其它指令碼之上，這種“正常”的檔案極可能無法被NeoPi識別出來。

二、傳統檢測方法的缺陷
現有技術是針對普通的指令碼後門、以控制伺服器為目的、通常包含較為明顯的靜態特徵或行為模式，不能對竊密型後門進行有效檢測。
由於業務系統更新頻繁，WEB指令檔相關的屬性經常發生變化所以偏重於檔案屬性檢測的方法往往會產生更多的誤判。
基於動態行為檢測的方法往往技術難度較大，難以實現，而且對系統造成的效能影響較大，甚至可能對系統穩定性造成影響。
基於日誌的檢測方法，一方面，由於業務功能較多且複雜，部分功能可能很少會被用到，其日誌訪問可能會命中某些檢測規則從而造成更多的誤判，另一方面，大量的日誌記錄處理起來會對伺服器效能產生負擔、而且由於日誌量巨大檢測過程消耗時間長，檢測速度較慢。而竊密型Webshell後門往往會類比正常的資料庫操作、不具有較為明顯靜態特殊屬性、被訪問的次數比較少，無法形成較為明顯的訪問特徵，通過日誌分析也很難發現。

Webshell的檢測