众所周知,由于Webshell 编码简单、使用便捷、其姿势更是千变万化,因此,成为了黑客最常用的攻击手段之一。据统计,2019 年,全国企业用户服务器病毒木马感染事件超百万起,其中WebShell 恶意程序感染事件占73.27%。
然而,一直以来,市场上没有一个很好的产品或工具能够精准检验WebShell,成为了困扰安全从业者多年的一大顽疾。加之”新基建“背景下,企业面临数字化转型,对WebShell 检测平台的需求愈发强烈。
通过多年的潜心研究,青藤云安全研发出了可有效检测Webshell 的“雷火引擎”。青藤作为安全领域的后起之秀,决定打破业界安全产品不愿意接受公众测评的现状,携手业内22 家顶级互联网公司SRC,举办“雷火引擎”公测活动,引领安全市场发展的新风!
Webshell现有检测方法局限
鉴于当前Webshell的的复杂多样和各种混淆,检测Webshell的方法存在很大的困难和挑战,其中在静态检测方法、动态检测方法、机器学习方法中都还不能达到最为理想的效果。
静态检测方法:
正则:无法有效识别webshell的变形和混淆
熵值分析:准确度很差,而且很多业务会使用混淆来保护代码,混淆不是webshell判定的核心依据
相似度匹配:webshell可以无限变形,相似度匹配命中率很低
抽象语法树分析:能够分析代码所有执行路径,但是对于变形和混淆识别较差
动态检测方法:
沙箱:能有效解决变形或者混淆问题,但是分支执行不到,或者恶意数据没有传入就无法检测
Web进程行为检测:对API调用无能为力,不调用system的检测不了
机器学习方法:
AI检测:无论采用传统机器学习还是基于目前比较火的深度学习,本质上还是靠已知样本去学习样本的特征,对于未见过的样本识别较差,且解释性差。
雷火引擎
雷火引擎(代码推导与计算引擎)是青藤自研发的Webshell检测引擎,不依赖正则匹配,⽽是通过对Webshell 代码内容中恶意函数和调用参数的精确检测,发现Webshell 中存在的可疑内容。
雷火引擎的核心能力在于反混淆等价回归。基本原理在于将静态检测方法和动态检测方法相结合,既能够有效解决变形和混淆问题,又能够解决执行分支路径不确定的问题,最终将Webshell进行有效的等价还原成最简化的形式,然后根据AI推理发现Webshell中存在的可疑内容。
抽象语法树解析
将脚本文件以树状的形式表现编程语言的语法结构,树上的每个节点都表示源代码中的一种结构。借助抽象语法树找到脚本的所有可能执行路径。
AI推理
借助与多种先进的技术手段,比如数据标记,代码推理等,在脚本执行过程中,从多种执行路径中找到最佳执行路径。
虚拟运算
虚拟运算是将脚本模拟真实环境中去运行得到结果,并在此过程中融入AI推理,从脚本中找到最佳执行路径,将其有效等价还原。
首届线上公开挑战赛
“雷火齐鸣·最燃公测”暨青藤首届线上公开挑战赛已于4 月20 日开启报名,5 月11 日正式比赛。活动一开启便在业内掀起了一阵极客风暴,预计将吸引5000 白帽参赛。 此次挑战赛邀请全国重要行业部门、科研机构、高等院校、关键基础设施单位、重保单位、信息安全企业、互联网企业等全行业高手广泛参与。
活动安排
活动规则
赛事亮点
百万奖金池悬赏,寻找顶尖白帽子;
联袂互联网半壁江山,共同打响新基建下的安全保卫战;
骨灰级大佬重返“雷火引擎”战场,全国顶尖白帽同场竞技;
22个专家裁判团,集众智、汇众力,公平公正。
积极意义
对行业来说,打破业内安全产品不愿意接受公测的现状,树立安全行业新风;
对白帽子来说,磨练的他们的技术和能力,提供了一个大型展示的舞台;
对社会来说,顶尖集合行业智慧,真正解决了WebShell的顽疾,树立WebShell检测新高度,为互联网安全赋能;
对国家来说,培养和选拔安全人才,助力国家新基建安全,筑牢国家安全防线。
安全市场上的各类产品比比皆是,愿意接受公众测评的却凤毛麟角,青藤云安全首次开展线上Webshell公开挑战赛初衷更在于引领社会风气,研发技术做真正能够检测Webshell的产品,深耕面向未来的安全理念,将安全产品进一步落地,应对未来多变的行业威胁!
来源:freebuf.com 2020-04-20 06:00:19 by: 你要的白不是黑
请登录后发表评论
注册