联系我们
发布日期:2021/04/09文章来源:盛邦安全
webshell是一种常用的网站后门工具,绝大多数黑客通过webshell长期稳定控制系统,对网络中其他机器进行攻击;但webshell的隐患依然没有受到足够的重视。尤其是近年来,加密webshell因其流量加密而难以被传统的WAF和IDS设备检测出来而越来越流行,为安全监控和管理工作带来很大的挑战。目前较为常见的动态加密WebShell管理工具为冰蝎和蚁剑。
除常规webshell检测外,盛邦安全网络资产安全治理平台RayGate已支持针对冰蝎2、冰蝎3(含冰蝎3.7特征检测规则)和蚁剑的检测。
webshell的危害
如果黑客成功在网站中植入了webshell,那么一个“魔盒”就被放置于网站之下,而开启它的“钥匙”就掌握在黑客的手中。他们可以通过它,获取服务器系统权限、控制“肉鸡”发起DDos攻击、篡改网站、网页挂马、作为用于隐藏自己的代理服务器、内部扫描、植入暗链/黑链等进行一系列攻击行为。
webshell的常见检测方法
静态检测:通过匹配特征码、特征值、危险函数来查找webshell,但只能查找已知的webshell。主流的检测方法有关键字检查(Keywords Matching)、审核代码逻辑(Code Logic Review)等。
动态检测:webshell在执行时表现出来的特征,我们称为动态特征。主流的检测方法有文件状态对比(File Info Comparison)、运行特征(Feature Matching)、访问行为检测(Access Behavior)等。
两种webshell检测方法对比:
结合两类检测方法的优缺点,盛邦安全网络资产安全治理平台(RayGate)对webshell检测进行了两点改善:
1、基于黑客行为进行检测,检查黑客在目标机器中进行的操作;
2、选择功能模块特征和CSS样式特征作为弱特征,对webshell进行检查,以降低漏报率和误报率。
如何应对webshell
为了有效而准确地提供webshell检测服务,从实时流量到主机系统,辅之以安全应急响应服务,盛邦安全推出了webshell检测组合拳:
针对实时流量,推出治理平台webshell检测功能
可以基于时间进行筛选,在疑似或者已经发生风险的时间段内进行重点检查,目前盛邦安全RayGate已经支持对冰蝎2、冰蝎3(含冰蝎3.7特征检测规则)以及蚁剑的检测。
也可以从webshell的分类和匹配特征维度进行筛选,webshell的分类主要包含:
√ 探测(谁在寻找网站上存在的后门)
√ 疑似后门(网站上可能存在的后门)
√ 已确定后门(确认一定存在的后门)
匹配特征主要包括:
√ 上传文件特征(根据上传的文件是否包含网站后门的特征值进行检测)
√ 请求参数特征(根据webshell与黑客交互时候传递的特征参数进行检测)
√ 相应页面特征(根据黑客行为和指定页面特征进行检测)
当所有自定义服务均不开启时,设备自动选择默认模式。在页面展示上,具体页面如下:
7*24小时的专业安全应急响应服务保障
针对用户应急响应技术支持的需求,盛邦安全组建了专业的应急响应高级技术支持服务团队,并和现场故障处理服务团队、远程互联网站安全监控团队、检查评估团队进行联动,通过电话支持、即时邮件、远程支持和现场支持等方式为用户提供全方位、7×24小时的远程和现场应急响应服务,包括:应急响应体系建设、现场和远程应急响应技术支持、事后分析和安全加固、协助用户组织应急演练等。