freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Webshell——隐藏在网站之下的潘多拉魔盒
2019-05-17 18:56:09

据国家互联网应急响应中心发布的最新《2018年我国互联网网络安全态势综述》数据显示,2018 年,CNCERT 监测发现境内外约 1.6 万个 IP 地址对我国境内约 2.4 万个网站植入后门。虽然近三年来,我国境内被植入后门的网站数量持续下降,网站后门植入仍然是主要的网络安全攻击手段之一,需要我们持续关注、保持高度警惕和尽早采取有效防范措施。 

640.webp (2).jpg

(图片来源:CNCERT《2018年我国互联网网络安全态势综述》报告)

从网站后门团伙情况看,经CNCERT 监测发现,攻击活跃在10天以上的网站“攻击团伙”有777 个,全年活跃的“攻击团伙”占13个,占比全部的1.7%;这少部分的保持持续活跃的“攻击团伙”具有长时间持续攻击的特点,正是我们需要重点关注的部分。

2.jpg

数据源于盛邦安全针对某黑客组织的持续监控跟踪报告

其中,Webshell是一种常用的网站后门工具,盛邦安全通过对大量攻击行为的持续跟踪与分析发现,绝大多数黑客通过Webshell长期稳定控制系统,对网络中其他机器进行攻击;但很多用户并没有察觉,Webshell隐患并没有受到足够的重视。本文是盛邦安全基于对Webshell研究的部分见解,希望给大家提供一些可以借鉴的思路。

什么是Webshell

Webshell是指以asp、php、jsp或者cgi等网页文件形式而存在的一种命令执行环境。“Web”的含义是需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上的操作权限,常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度的操作权限。Webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。

Webshell的分类

根据文件大小分为:大马和小马,小马通常指的是一句话木马;

根据脚本名称分为:jsp、asp、aspx、php

Webshell的危害

如果黑客成功在网站中植入了Webshell,那么一个“魔盒”就被放置于网站之下,而开启它的“钥匙”就掌握在黑客的手中。他们可以通过它,获取服务器系统权限、控制“肉鸡”发起DDos攻击、篡改网站、网页挂马、作为用于隐藏自己的代理服务器、内部扫描、植入暗链/黑链等进行一系列攻击行为。

Webshell的常见检测方法

静态检测:通过匹配特征码、特征值、危险函数来查找Webshell,但只能查找已知的Webshell。主流的检测方法有关键字检查(Keywords Matching)、审核代码逻辑(Code Logic Review)等。

动态检测:Webshell在执行时表现出来的特征,我们称为动态特征。主流的检测方法有文件状态对比(File Info Comparison)、运行特征(Feature Matching)、访问行为检测(Access Behavior)等。

两种Webshell检测方法对比


优点缺点
静态检测速度快、对已知的webshell查找准确率高误报率高,存在漏报,会被绕过  
动态检测准确性高耗时、占用资源多

结合两类检测方法的优缺点,盛邦安全Web应用安全综合治理系统(RayGate)对Webshell检测进行了两点改善:

1、基于黑客行为进行检测,检查黑客在目标机器中进行的操作;

2、选择功能模块特征和CSS样式特征作为弱特征,对Webshell进行检查,以降低漏报率和误报率。

如何应对Webshell

为了有效准确提供地Webshell检测服务,从实时流量到主机系统,辅之以安全服务应急响应,盛邦安全推出了Webshell检测组合拳。

1、针对实时流量,推出治理平台Webshell检测

治理平台Webshell检测可以基于时间进行筛选,可自由选择时间,在疑似或者已经发生风险的时间段内进行重点检查。

3.png


也可以从Webshell的分类和匹配特征维度进行筛选,Webshell的分类主要包含:

√ 探测(谁在寻找网站上存在的后门)

√ 疑似后门(网站上可能存在的后门)

√ 已确定后门(确认一定存在的后门)

匹配特征主要包括:

 上传文件特征(根据上传的文件是否包含网站后门的特征值进行检测)

√ 请求参数特征(根据Webshell与黑客交互时候传递的特征参数进行检测)

 相应页面特征(根据黑客行为和指定页面特征进行检测)

当所有自定义服务均不开启时,设备自动选择默认模式。在页面展示上,具体页面如下:

4.png

2、针对主机推出主机威胁检测系统

主机威胁检测系统是针对主机系统的一键式专用安全检查软件,具有日志检测、Webshell检测、APT入侵痕迹检测、有害信息检查、本地溯源取证、威胁情报关联分析等功能,为信息安全检查提供专业知识和方法,并实现对获取数据的关联分析。通过本系统可及时发现系统遭受的恶意攻击以及被上传的恶意文件,同时结合威胁情报,实现对威胁源的快速定位、扩展分析。

3、安全服务应急响应服务

针对用户应急响应技术支持的需求,盛邦安全组建了专业的应急响应高级技术支持服务团队,并和现场故障处理服务团队、远程互联网站安全监控团队、检查评估团队进行联动,通过电话支持、即时邮件、远程支持和现场支持等方式为用户提供全方位、7×24小时的远程和现场应急响应服务,包括:应急响应体系建设、现场和远程应急响应技术支持、事后分析和安全加固、协助用户组织应急演练等。

盛邦安全服务热线:4006-911-199

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者