烽火三十六技丨盛邦安全RayGate现已支持对加密webshell管理工具冰蝎、蚁剑的检测 – 作者:WebRAY

webshell是一种常用的网站后门工具，绝大多数黑客通过webshell长期稳定控制系统，对网络中其他机器进行攻击；但webshell的隐患依然没有受到足够的重视。尤其是近年来，加密webshell因其流量加密而难以被传统的WAF和IDS设备检测出来而越来越流行，为安全监控和管理工作带来很大的挑战。目前较为常见的动态加密WebShell管理工具为冰蝎和蚁剑。

除常规webshell检测外，盛邦安全网络资产安全治理平台RayGate已支持针对冰蝎2、冰蝎3（含冰蝎3.7特征检测规则）和蚁剑的检测。

webshell的危害

如果黑客成功在网站中植入了webshell，那么一个“魔盒”就被放置于网站之下，而开启它的“钥匙”就掌握在黑客的手中。他们可以通过它，获取服务器系统权限、控制“肉鸡”发起DDos攻击、篡改网站、网页挂马、作为用于隐藏自己的代理服务器、内部扫描、植入暗链/黑链等进行一系列攻击行为。

webshell的常见检测方法

静态检测：通过匹配特征码、特征值、危险函数来查找webshell，但只能查找已知的webshell。主流的检测方法有关键字检查（Keywords Matching）、审核代码逻辑（Code Logic Review）等。

动态检测：webshell在执行时表现出来的特征，我们称为动态特征。主流的检测方法有文件状态对比（File Info Comparison）、运行特征（Feature Matching）、访问行为检测（Access Behavior）等。

两种webshell检测方法对比：

结合两类检测方法的优缺点，盛邦安全网络资产安全治理平台（RayGate）对webshell检测进行了两点改善:

1、基于黑客行为进行检测，检查黑客在目标机器中进行的操作；

2、选择功能模块特征和CSS样式特征作为弱特征，对webshell进行检查，以降低漏报率和误报率。

如何应对webshell

为了有效而准确地提供webshell检测服务，从实时流量到主机系统，辅之以安全应急响应服务，盛邦安全推出了webshell检测组合拳：

针对实时流量，推出治理平台webshell检测功能

可以基于时间进行筛选，在疑似或者已经发生风险的时间段内进行重点检查，目前盛邦安全RayGate已经支持对冰蝎2、冰蝎3（含冰蝎3.7特征检测规则）以及蚁剑的检测。

也可以从webshell的分类和匹配特征维度进行筛选，webshell的分类主要包含：

√  探测（谁在寻找网站上存在的后门）

√  疑似后门（网站上可能存在的后门）

√  已确定后门（确认一定存在的后门）

匹配特征主要包括：

√ 上传文件特征（根据上传的文件是否包含网站后门的特征值进行检测）

√ 请求参数特征（根据webshell与黑客交互时候传递的特征参数进行检测）

√ 相应页面特征（根据黑客行为和指定页面特征进行检测）

当所有自定义服务均不开启时，设备自动选择默认模式。在页面展示上，具体页面如下：

7*24小时的专业安全应急响应服务保障

针对用户应急响应技术支持的需求，盛邦安全组建了专业的应急响应高级技术支持服务团队，并和现场故障处理服务团队、远程互联网站安全监控团队、检查评估团队进行联动，通过电话支持、即时邮件、远程支持和现场支持等方式为用户提供全方位、7×24小时的远程和现场应急响应服务，包括：应急响应体系建设、现场和远程应急响应技术支持、事后分析和安全加固、协助用户组织应急演练等。

来源：freebuf.com 2021-04-12 11:06:43 by: WebRAY