近年來網(wǎng)站被植入后門等隱蔽性攻擊呈逐年增長(zhǎng)態(tài)勢(shì)，國(guó)家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心發(fā)布的《2015年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》中指出，“2015年CNCERT/CC共監(jiān)測(cè)到境內(nèi)75028個(gè)網(wǎng)站被植入后門，其中政府網(wǎng)站有3514個(gè)”。

而Webshell則是常用的一種網(wǎng)站后門工具，盛邦安全通過大量對(duì)被黑網(wǎng)站的應(yīng)急發(fā)現(xiàn)，絕大多數(shù)黑客是通過后門進(jìn)行的修改，并在篡改后刪除后門及服務(wù)器日志。但與Webshell的危害程度相反的是，許多信息中心并沒有非常重視該問題，或者可以說，業(yè)界并沒有提供很好的解決辦法。本文將根據(jù)盛邦安全對(duì)于Webshell的一些研究做些總結(jié)，希望給大家一些借鑒意義。

你知道或者不知道的Webshell

對(duì)于Webshell在這里我會(huì)簡(jiǎn)單介紹一下，更詳細(xì)的內(nèi)容大家可以百度或者查看公眾號(hào)‘唯品會(huì)應(yīng)急響應(yīng)中心’之前發(fā)布的一篇《Webshell技術(shù)總結(jié)》的文章，其中有很全面的介紹。

1、什么是Webshell

　“Web”的含義是需要服務(wù)器開放web服務(wù)，“shell”的含義是取得對(duì)服務(wù)器某種程度上的操作權(quán)限,常常被稱為匿名用戶（入侵者）通過網(wǎng)站端口對(duì)網(wǎng)站服務(wù)器的某種程度的操作權(quán)限。類似于個(gè)人電腦的cmd模式。

2、Webshell的分類

3、Webshell的用途

　• 你發(fā)現(xiàn)并利用了一個(gè)網(wǎng)站的漏洞

　• 得到了Web權(quán)限但沒有系統(tǒng)權(quán)限

　• 希望下一次能夠優(yōu)雅地連接系統(tǒng)

如果你通過漏洞成功的在網(wǎng)站中植入了Webshell，那么一個(gè)“魔盒”就成功的存在于網(wǎng)站之下，而開啟它的“鑰匙”就掌握在你的手中。你可以通過它，獲取服務(wù)器系統(tǒng)權(quán)限、控制“肉雞”發(fā)起DDos攻擊、篡改網(wǎng)站、網(wǎng)頁(yè)掛馬、作為用于隱藏自己的代理服務(wù)器、內(nèi)部掃描、植入暗鏈/黑鏈等等。

盛邦安全對(duì)于檢測(cè)Webshell的一些建議

• 處置一:人工處置

1、定期檢查服務(wù)器上是否存在不認(rèn)識(shí)文件；

雖然大馬通常有.asp、.jsp、.php等多種形式，但其通常都是要植入到網(wǎng)站的文件目錄下。理論上只要確保目錄中不存在未知文件即可防范大馬。

缺點(diǎn)：顯而易見，對(duì)于自己編輯的簡(jiǎn)單網(wǎng)站檢查起來比較可行，但多數(shù)情況下，此類方法費(fèi)事費(fèi)力，很難實(shí)現(xiàn)。

2、安裝網(wǎng)頁(yè)防篡改軟件（非網(wǎng)關(guān)模式）

網(wǎng)頁(yè)防篡改解決Webshell問題的原理與人工檢查類似，都是盡可能確保網(wǎng)站目錄下不會(huì)被隨意修改。

• 處置二：基于文件的Webshell分析

1. 檢測(cè)是否包含Webshell特征，例如常用的各種函數(shù)。

2. 檢測(cè)是否加密（混淆處理）來判斷是否為Webshell

3. 文件hash檢測(cè)，創(chuàng)建Webshell樣本hashing庫(kù)，進(jìn)行對(duì)比分析可疑文件。

4. 對(duì)文件的創(chuàng)建時(shí)間、修改時(shí)間、文件權(quán)限等進(jìn)行檢測(cè)，以確認(rèn)是否為Webshell

5. 沙箱技術(shù)，根據(jù)動(dòng)態(tài)語(yǔ)言沙箱運(yùn)行時(shí)的行為特征進(jìn)行判斷

• 處置三：基于流量的檢測(cè)方式

1. 基于payload的行為分析，不僅對(duì)已知Webshell進(jìn)行檢測(cè)，還能識(shí)別出未知的、偽裝性強(qiáng)的Webshell。

2. 對(duì)Webshell的訪問特征（IP/UA/Cookie)、payload特征、path特征、時(shí)間特征等進(jìn)行關(guān)聯(lián)分析，以時(shí)間為索引，還原攻擊事件。

3. 便于部署，只需要鏡像流量進(jìn)行分析。

處置三與處置四的核心之一均是特征庫(kù)的大小及更新頻度，無論是文件特征還是Webshell的傳輸特征。

• 處置四：基于日志的Webshell分析

分析日志的手段往往用于被攻擊后的溯源階段，主要的原因就是WEB日志過多，分析起來非常繁瑣。而且有些黑客會(huì)在攻擊后刪除日志，這樣就只能借助外置的審計(jì)類設(shè)備進(jìn)行溯源。

烽火臺(tái)的Webshell檢測(cè)

WebRAY烽火臺(tái)監(jiān)控預(yù)警與態(tài)勢(shì)感知平臺(tái)在設(shè)計(jì)之初就將Webshell的檢測(cè)作為核心能力，結(jié)合盛邦安全在Web領(lǐng)域的研究，深度集成Webshell檢測(cè)引擎。該引擎主要利用基于文件以及基于流量?jī)煞N檢測(cè)技術(shù)。并通過下圖所示的威脅情報(bào)自研系統(tǒng)，建立情報(bào)及行為分析模型庫(kù)，以此為核心來保障Webshell檢測(cè)的全面性及準(zhǔn)確性。

  盛邦安全對(duì)Webshell的研究

1、基于文件特征的檢測(cè)：

通過收集常用的Webshell工具，對(duì)其進(jìn)行分析，提取相應(yīng)文件特征。然后基于這些特征進(jìn)行檢測(cè)。同時(shí)還包括處置三中的幾種檢測(cè)方式：是否加密、文件的創(chuàng)建時(shí)間、修改時(shí)間、文件權(quán)限等。同時(shí)對(duì)于灰色文件啟用沙箱檢測(cè)。

烽火臺(tái)對(duì)于基于文件特征的Webshell檢測(cè)提供兩種模式：本地查殺、遠(yuǎn)程掃描查殺。本地查殺需要在服務(wù)器上安裝插件進(jìn)行檢測(cè)；對(duì)于不便于安裝插件的客戶，烽火臺(tái)提供遠(yuǎn)程掃描檢測(cè)，為實(shí)現(xiàn)更好的效果對(duì)爬蟲進(jìn)行了改進(jìn)：爬蟲要能識(shí)別、積累各種WebShell的特征，并作為爬取必須項(xiàng)；同時(shí)具備登錄掃描功能，使掃描結(jié)果更全面。

2、基于流量的檢測(cè)

烽火臺(tái)可部署在網(wǎng)絡(luò)出口交換機(jī)處，通過流量鏡像分析是否存在Webshell的傳輸特征。其核心是對(duì)于Webshell發(fā)起惡意行為的分析及建模能力，更新周期為每月更新。

基于流量的Webshell檢測(cè)結(jié)果

從安全的演變階段劃分，無論是用上傳型小馬帶大馬還是比較流行的直接在cms中植入Webshell等植入形式，都是因?yàn)槭虑按嬖诼┒?。在烽火臺(tái)系列文章中，也多次提及了漏洞的危害性，而這方面更應(yīng)該審視的是漏洞檢測(cè)的全面性，應(yīng)包括系統(tǒng)漏洞、Web漏洞、中間件漏洞、數(shù)據(jù)庫(kù)漏洞，從而保證不存在短板。而Webshell、篡改等問題的監(jiān)測(cè)及檢測(cè)均屬于感知與偵測(cè)范疇。在態(tài)勢(shì)感知中，及時(shí)性、準(zhǔn)確性則是主要的考量標(biāo)準(zhǔn)，而基于威脅情報(bào)的檢測(cè)能大大提高了感知的能力，對(duì)于解決隱蔽性、高級(jí)的新型威脅有更好幫助。