Web木马一般是为了获得对网站的持久控制而留下的脚本。分为一句话木马和大马。一句话木马指的是并没有完整的网站控制功能的脚本,可以通过菜刀等客户端连接,从而获得完整的控制功能,例如<?php eval($POST['x'])?>。大马是本身有完整的控制功能的脚本。
Web木马功能
一般有文件管理,执行命令,数据库连接等。
例如下面一个大马的截图:
这里除了文件管理,数据库管理,执行命令,还有端口扫描,反弹shell(Back Connect)。
一句话木马通过中国菜刀连接,则能具备完整的控制功能。
检测方式和绕过方式
一、 WAF/NIDS(Snort)/NIPS
这几个系统的共同特点是,他们都是从网络层来检测,所以他们只能通过对Web木马的请求报文来识别。
1. 检测Request中是否含有某些关键字(检测能力10%)
一般都会通过Web木马执行一些常见的系统命令,例如ls,ifconfig,whoami之类的。在http的Post报文里面直接匹配该字符串。
绕过方式:对通信报文做编码,在Web木马里面先解码通信报文,再执行。
2. 检测Response是否含有某些关键字(检测能力90%)
很多WAF都可以检测Response中的关键字。这里一般是检测先前的web木马经常执行的一些命令的返回值。例如列目录命令,返回值里面会有/www/html/upload/这种类似的目录特征。
绕过方式:对返回Response做编码,在连接木马的客户端中解码该Response并显示。
注意,针对Response检测会比Request检测有效很多。因为目前观察到的默认的这些配置,无论是大马还是菜刀客户端,返回的Response都不是编码的。而Request里面,除了大马是默认不编码的,小马的Request都是默认编码的。
3. 检测Request是否编码(检测能力未知)
据说可以通过信息熵来做是否编码的检测,这种方法笔者没有实践过,不清楚实际效果
4. 检测Request的URL在网站所有访问中的分布是否正常(检测能力90%)
Web木马往往只被很少量的IP访问。使用这种方法还需要配合二次过滤,否则会产生大量误报。二次过滤我一般是采用,对Response再做一次检测,来避免。
绕过方式:可以针对他所作的二次过滤来进行绕过
无论用以上各种方法检测,总存在一种终极绕过方式:上传的web木马不再是由黑客直接请求,而是该web木马定时访问weibo等第三方服务,获取要执行的代码并执行。
二、HIDS/RASP
1. 检测文件中的敏感函数(检测能力10%)
在文件中查找某些敏感函数,如果发现,则报警。
绕过方式:对函数进行适当混淆即可
2. 检测web敏感函数的执行(检测能力96%)
如果是Java的Web程序,则在JVM上挂钩。如果是php的,则挂钩PHP的底层代码。在敏感函数调用时触发。
绕过方式:难以绕过。缺点是,对服务器的稳定性影响,同时针对不同的语言,要开发不同的agent。
3. 检测linux命令执行函数的执行(检测能力95%)
在linux里面,挂钩execve,获得执行的命令和进程。
绕过方式:难以绕过。但如果web木马不执行命令,仅进行文件创建修改,或者数据库连接之类的,则无法发现。缺点是,对服务器的性能和稳定性影响。同时需要做大量过滤来消除误报。
4. 检测文件是否编码(检测能力未知)
有个叫NeoPI的项目,检测能力未知。这个我没听说过哪个公司在实际环境里面使用。
5. 沙箱(检测能力98%)
将可疑文件传到沙箱服务器上。沙箱服务器里,对用户输入进行taint,如果进入敏感函数则报警。
绕过方式:难以绕过。缺点是,实现难度较大,需要对可疑文件进行执行。当遇到十分复杂的执行逻辑时,可能会出错。
无论用以上哪种方法,我们都要注意,在具体的实施过程中,可能要结合多种方式来消除误报。避免自以为是。
