首页 > 安全 > 网络安全 > 正文
如何全面防御Webshell(下)?
2017-01-09       个评论      
收藏    我要投稿

如何全面防御Webshell(下)?在进行调查时,最关键的部分之一是找到黑客的入口点,尤其是当运维团队将受攻击的服务器恢复正常后,我们意识到有很多的服务器已经被各种webshell、rootkits和密码导出工具感染时。

图片1.png

需要快速的通过时间轴法对恶意软件留下的文件以及横向的多台可能被感染的服务器进行分析,然后找出第一个被安装的恶意软件样本,现在唯一的问题是黑客是如何将恶意文件上传至内部网络的。恶意软件通常以当前的服务器权限进行各项操作,但是很不幸的是通常它所处的环境就是管理员权限。

那么我们应该从何下手?

一个成功的调查需要从不同的实体(上下文)获取到大量的信息来构建一个能更好的理解系统、基础设施、业务流程的画像。

就拿Tomcat来说,它在被安装后会将应用的日志保存到stdout.log中。如同大多数的标准输出日志一样,你在日志中会看到应用大量的堆栈跟踪活动记录,生产环境的服务器尤为如此。但是当看完所有的记录后,我发现了一条奇特的记录:

1482469315886741.png

进一步的,我发现了更有趣的另一个文件:

1482469324488759.png

如果第一条记录还不够明显,那么从第二条记录就看出有人试图将精简的webshell写入到文件中。接下来我们需要好好看看文件的内容了:

图片7.png

该webshell通过参数cmd进行命令的传参,然后在系统上执行该命令并回显执行结果。

至此,应用程序的日志表明了有人试图将webshell上传到服务器上,但是目前还不清楚这是如何实现的。日志关于该webshell被上传的记录已经部分丢失,但是庆幸的是我知道webshell存储的位置以及它的名称,接下来我们是不是应该去分析一些web日志了?

在web日志中我发现了如下的一条记录:

图片3.png

这条日志似乎说明有人试图通过执行系统命令来查看当前系统的网络配置。

在日志中搜寻包含关键字”redirectAction:”的记录:

图片4.png

这条日志显示有人试图将上面提到的webshell写入到系统的文件夹中。通过谷歌搜索以及测试后,我们发现这条日志显示了有人在测试服务器的Struts 2漏洞(CVE-2013-2135)。通过时间轴法进行分析,我们发现了黑客的入手点。

一图胜千言,将所有的讯息整合到一起后绘制了如下视图:

图片6.png

还谈webshell:查杀工具

接下来将要介绍的webshell查杀工具如下:

1、NeoPI

2、Shell Detector

3、LOKI

接下来的是webshell查杀工具要查杀的病毒样本:

1、byroe.jpg—-将webshell代码隐藏在图片中

2、myluph.php—PHP webshell样本

3、webshell.php—一开始提到的那个webshell样本

4、vero.txt—包含混淆代码和原始代码的PHP webshell样本

5、myluphdecoded.php—解码后的myluph.php

6、China Chopper—中国菜刀

7、c99madshell.php—常用的webshell

8、unknownPHP.php—别人分享的一个webshell

外带一些常规的正常文件:

1、来自常用网站的index.html页面

2、ASPX文件

3、PHP文件

4、JavaScript文件

NeoPI

根据NeoPI在GitHub上的描述信息,该工具的代码由python编写,通过统计学的方法来检测混淆/编码的内容。使用该工具对上面提到的文件进行扫描:

1.png
11.png

该工具好的方面:

A 检出率:6/9 B 不管是原始的或者经过混淆的webshell,都能正确发现 C 越复杂的代码结构,被发现的可能性越高 D 多种检测webshell的方法:特征、符合指数(IC)、比例、熵值、最长关键字匹配

该工具不好的地方:

A 不能发现简单的“一句话”webshell(比如中国菜刀使用的一句话webshell) B 有一定的误报 C 对于某些方法,需要手动进行分类和对高亮文件进行附加分析(比如说熵值和关键字匹配) D 特征库不再更新了 E 不能在大量文件中检测出将代码隐藏在图片中的webshell

我注意到,将多个启发式检测到的文件进行信息汇总是非常有帮助的,举个例子,在检测byroe.jpg这个webshell文件时,可以看到它排在特征排行榜的前10,但是在最长关键字匹配排行榜和熵值排行榜中却没有排名。

就这款工具来说,它已经4年没有更新了,不能检测出所有类型的webshell,也会产生误报,但是对于新webshell的检出率还是不错的,我建议你们将该工具加入到你们的分析沙盒中,这里还有一篇关于它的文章,可以看一看。

点击复制链接 与好友分享!回本站首页
上一篇:如何全面防御Webshell(上)?
下一篇:最后一页
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做实用的IT技术学习网站