据国家互联网应急响应中心发布的最新《2018年我国互联网网络安全态势综述》数据显示,2018 年,CNCERT 监测发现境内外约 1.6 万个 IP 地址对我国境内约 2.4 万个网站植入后门。虽然近三年来,我国境内被植入后门的网站数量持续下降,网站后门植入仍然是主要的网络安全攻击手段之一,需要我们持续关注、保持高度警惕和尽早采取有效防范措施。
(图片来源:CNCERT《2018年我国互联网网络安全态势综述》报告)
从网站后门团伙情况看,经CNCERT 监测发现,攻击活跃在10天以上的网站“攻击团伙”有777 个,全年活跃的“攻击团伙”占13个,占比全部的1.7%;这少部分的保持持续活跃的“攻击团伙”具有长时间持续攻击的特点,正是我们需要重点关注的部分。
数据源于盛邦安全针对某黑客组织的持续监控跟踪报告
其中,Webshell是一种常用的网站后门工具,盛邦安全通过对大量攻击行为的持续跟踪与分析发现,绝大多数黑客通过Webshell长期稳定控制系统,对网络中其他机器进行攻击;但很多用户并没有察觉,Webshell隐患并没有受到足够的重视。本文是盛邦安全基于对Webshell研究的部分见解,希望给大家提供一些可以借鉴的思路。
什么是Webshell
Webshell是指以asp、php、jsp或者cgi等网页文件形式而存在的一种命令执行环境。“Web”的含义是需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上的操作权限,常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度的操作权限。Webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。
Webshell的分类
根据文件大小分为:大马和小马,小马通常指的是一句话木马;
根据脚本名称分为:jsp、asp、aspx、php
Webshell的危害
如果黑客成功在网站中植入了Webshell,那么一个“魔盒”就被放置于网站之下,而开启它的“钥匙”就掌握在黑客的手中。他们可以通过它,获取服务器系统权限、控制“肉鸡”发起DDos攻击、篡改网站、网页挂马、作为用于隐藏自己的代理服务器、内部扫描、植入暗链/黑链等进行一系列攻击行为。
Webshell的常见检测方法
静态检测:通过匹配特征码、特征值、危险函数来查找Webshell,但只能查找已知的Webshell。主流的检测方法有关键字检查(Keywords Matching)、审核代码逻辑(Code Logic Review)等。
动态检测:Webshell在执行时表现出来的特征,我们称为动态特征。主流的检测方法有文件状态对比(File Info Comparison)、运行特征(Feature Matching)、访问行为检测(Access Behavior)等。
两种Webshell检测方法对比
优点 | 缺点 | |
---|---|---|
静态检测 | 速度快、对已知的webshell查找准确率高 | 误报率高,存在漏报,会被绕过 |
动态检测 | 准确性高 | 耗时、占用资源多 |
结合两类检测方法的优缺点,盛邦安全Web应用安全综合治理系统(RayGate)对Webshell检测进行了两点改善:
1、基于黑客行为进行检测,检查黑客在目标机器中进行的操作;
2、选择功能模块特征和CSS样式特征作为弱特征,对Webshell进行检查,以降低漏报率和误报率。
如何应对Webshell
为了有效准确提供地Webshell检测服务,从实时流量到主机系统,辅之以安全服务应急响应,盛邦安全推出了Webshell检测组合拳。
1、针对实时流量,推出治理平台Webshell检测
治理平台Webshell检测可以基于时间进行筛选,可自由选择时间,在疑似或者已经发生风险的时间段内进行重点检查。
也可以从Webshell的分类和匹配特征维度进行筛选,Webshell的分类主要包含:
√ 探测(谁在寻找网站上存在的后门)
√ 疑似后门(网站上可能存在的后门)
√ 已确定后门(确认一定存在的后门)
匹配特征主要包括:
√ 上传文件特征(根据上传的文件是否包含网站后门的特征值进行检测)
√ 请求参数特征(根据Webshell与黑客交互时候传递的特征参数进行检测)
√ 相应页面特征(根据黑客行为和指定页面特征进行检测)
当所有自定义服务均不开启时,设备自动选择默认模式。在页面展示上,具体页面如下:
2、针对主机推出主机威胁检测系统
主机威胁检测系统是针对主机系统的一键式专用安全检查软件,具有日志检测、Webshell检测、APT入侵痕迹检测、有害信息检查、本地溯源取证、威胁情报关联分析等功能,为信息安全检查提供专业知识和方法,并实现对获取数据的关联分析。通过本系统可及时发现系统遭受的恶意攻击以及被上传的恶意文件,同时结合威胁情报,实现对威胁源的快速定位、扩展分析。
3、安全服务应急响应服务
针对用户应急响应技术支持的需求,盛邦安全组建了专业的应急响应高级技术支持服务团队,并和现场故障处理服务团队、远程互联网站安全监控团队、检查评估团队进行联动,通过电话支持、即时邮件、远程支持和现场支持等方式为用户提供全方位、7×24小时的远程和现场应急响应服务,包括:应急响应体系建设、现场和远程应急响应技术支持、事后分析和安全加固、协助用户组织应急演练等。
盛邦安全服务热线:4006-911-199