攻防演練場景中面臨的常見加密威脅-WebShell工具

一概述

Webshell是一種用于獲得服務(wù)器執(zhí)行操作權(quán)限的惡意腳本，在攻防演練場景中被廣泛使用。它常被稱為網(wǎng)馬，并根據(jù)實(shí)現(xiàn)方式的不同可以分為一句話木馬(小馬)、大馬和內(nèi)存馬。攻擊者通常通過利用文件上傳、命令執(zhí)行、反序列化等漏洞將Webshell上傳或注入目標(biāo)服務(wù)器，并通過Webshell管理工具進(jìn)行連接。一旦連接成功，攻擊者可以使用Webshell管理工具發(fā)送指令來對目標(biāo)服務(wù)器進(jìn)行操作和控制。常見的操作包括獲取權(quán)限、命令控制和竊取數(shù)據(jù)等。成功上傳和連接WebShell會直接暴露內(nèi)網(wǎng)給攻擊者，并為進(jìn)一步攻擊提供了重要的條件。二常見WebShell管理工具

WebShell管理工具種類繁多，相較于菜刀等傳統(tǒng)的WebShell管理工具，新型WebShell管理工具具備了更強(qiáng)大的定制功能，以及繞過流量檢測和免殺的能力，使攻擊者能夠更加靈活和有效的進(jìn)行攻擊活動。目前主要使用的新型WebShell管理工具有以下幾種：（一）冰蝎

冰蝎是一款基于Java開發(fā)的動態(tài)加密通信的新型Webshell管理工具。與傳統(tǒng)的WebShell管理工具相比，其通信流量被加密且加密密鑰由隨機(jī)數(shù)函數(shù)動態(tài)生成，不易被檢測。此外，4.0版本不再使用連接密碼的概念，而是使用自定義傳輸協(xié)議的算法作為連接密碼。因此，在通信過程中，冰蝎4.0版本不容易被傳統(tǒng)流量側(cè)威脅檢測設(shè)備檢測和攔截，給威脅狩獵帶來了更大的挑戰(zhàn)。（二）哥斯拉

哥斯拉是一款優(yōu)秀的WebShell管理工具，使用Java開發(fā)，支持php、asp、jsp等多腳本環(huán)境。在通信過程中，對流量進(jìn)行了多種加密和編碼的組合，具有文件管理、數(shù)據(jù)庫操作、命令執(zhí)行、內(nèi)存馬、隧道反彈等功能。另外，它還支持一定程度的定制，例如修改默認(rèn)請求頭、請求體添加自定義內(nèi)容等，為紅隊(duì)修改他的動靜態(tài)特征提供了便利，在流量側(cè)具有一定的繞過威脅檢測的能力。（三）天蝎

天蝎是一款使用JavaFX技術(shù)開發(fā)的跨平臺WebShell管理工具。此工具基于冰蝎進(jìn)行Webshell加密通信的原理，采用預(yù)共享密鑰對通信載荷進(jìn)行加密，并且在載荷內(nèi)容層面上也都支持多種不同的加密算法，用于保證通信的隱蔽性和安全性。在協(xié)議和載荷兩側(cè)都可以加密的情況下，傳統(tǒng)IDS/NDR設(shè)備很難有效對其檢出。（四）蟻劍

AntSword是一個開源的、跨平臺的WebShell管理工具，支持一定程度的魔改，例如修改默認(rèn)的UA等請求頭等。另外，此工具支持自定義編碼器和解碼器，能夠繞過傳統(tǒng)WAF和傳統(tǒng)威脅流量檢測設(shè)備。三WebShell流量偽裝技術(shù)

WebShell工具會使用各種流量偽裝技術(shù)，以隱藏其惡意活動和逃避檢測。以下是一些常見的流量偽裝技術(shù)：（一）加密和自定義編碼

WebShell可以使用加密算法和自定義編碼方式對數(shù)據(jù)進(jìn)行加密和混淆，以避免被檢測和解析。

圖1利用加密和自定義編碼對請求內(nèi)容進(jìn)行加密（二）TLS加密協(xié)議

攻擊者借助TLS加密協(xié)議與WebShell進(jìn)行通信，使流量在網(wǎng)絡(luò)傳輸過程中更加安全和隱蔽，傳統(tǒng)的流量威脅檢測設(shè)備很難進(jìn)行檢測。圖2利用TLS通信協(xié)議對請求內(nèi)容進(jìn)行加密傳輸（三）云函數(shù)

攻擊者可以將WebShell的功能部署在云函數(shù)平臺上，利用云服務(wù)提供商的網(wǎng)絡(luò)流量偽裝機(jī)制，使其流量看起來像正常的云服務(wù)流量。圖3

利用云函數(shù)偽裝成云服務(wù)流量（四）偽裝正常業(yè)務(wù)

攻擊者可以將WebShell的通信模式和流量特征模擬成正常的業(yè)務(wù)流量，例如在請求參數(shù)中添加token、action等常見業(yè)務(wù)參數(shù)，另外也可以通過修改返回包中的GZIP文件頭等特征來繞過流量威脅檢測。圖4

通過在參數(shù)中添加請求參數(shù)偽裝為正常業(yè)務(wù)（五）魔改

可以通過WebShell管理工具提供的修改項(xiàng)實(shí)現(xiàn)對流量特征的修改，從而可以繞過基于傳統(tǒng)字符串匹配或簡單行為檢測的流量檢測設(shè)備。圖5

利用修改項(xiàng)實(shí)現(xiàn)WebShell管理工具的魔改（六）源碼定制

基于源碼進(jìn)行高度定制，從根本上修改工具在流量上的默認(rèn)特征。相比于工具提供的修改項(xiàng)，具備更高程度的定制化，從而繞過基于傳統(tǒng)字符串匹配或簡單行為檢測的流量檢測設(shè)備。圖6

通過修改源碼實(shí)現(xiàn)對流量特征的高度定制四WebShell流量檢測技術(shù)傳統(tǒng)的WebShell檢測方法主要基于字符串匹配和簡單的行為分析，通過對已知的WebShell特征和行為進(jìn)行識別和比對，來判斷是否存在惡意的WebShell。然而，現(xiàn)如今面對層出不窮的流量偽裝技術(shù)，傳統(tǒng)檢測方法難以有效應(yīng)對，檢測誤報率和漏報率居高不下。如何對WebShell實(shí)現(xiàn)精準(zhǔn)識別具有一定難度，特別是基于加密流量進(jìn)行通信的WebShell檢測更是行業(yè)難題。為了應(yīng)對新型WebShell威脅，觀成瞰云（ENS）-加密威脅智能檢測系統(tǒng)結(jié)合以下幾種方式實(shí)現(xiàn)有效檢測：·基于對加密和編碼特征的分析，實(shí)現(xiàn)對各類具有加密載荷的WebShell進(jìn)行識別；·基于多流行為檢測模型實(shí)現(xiàn)對魔改的WebShell和弱特征的WebShell進(jìn)行識別；·基于AI模型實(shí)現(xiàn)對通過HTTP通信的已知WebShell和未知WebShell進(jìn)行識別；·基于AI模型實(shí)現(xiàn)對通過TLS加密通信的已知WebShell和未知WebShell進(jìn)行識別；·基于AI模型實(shí)現(xiàn)對各類WebShell文件上傳行為進(jìn)行識別。五產(chǎn)品檢測觀成瞰云（ENS）-加密威脅智能檢測系統(tǒng)對WebShell流量的檢出結(jié)果。圖7

WebShell檢出結(jié)果六總結(jié)

在攻防演練場景中，了解WebShell的特點(diǎn)和常見的加密威脅對于有效防范和應(yīng)對攻擊至關(guān)重要。同時，持續(xù)更新和學(xué)習(xí)新的檢測技術(shù)和工具，保