本文最早发表于乌云知识库中,后来,由于某些众所周知的原因,乌云知识库无法再访问。重载文章,内容有修改。

0x01 关键词检测

利用正则表达式等对一些常见的 Webshell 关键词进行扫描,从而判断出该文件是否为 Webshell. 这种检测方法非常太暴力了,但是也最为简单可控。显而易见,这样简单粗暴地检测会产生较高的误报率,而且对于一些加了密或者变形的 Webshell 又会出现检测不出来的问题。所以,这样筛选出来的 Webshell 还要经过网络维护人员的手动核实,查杀原则是:宁可错杀一百,不可放过一个。即具有很高的查全率(召回率),但是精准率相对较低。

譬如下面这段在某网站 Get 的代码,据称是某在线 Webshell 查杀真实代码: 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
class scan{  
private $directory = '.';  
private $extension = array('php');  
private $_files = array();  
private $filelimit = 5000;  
private $scan_hidden = true;  
private $_self = '';  
Private $_regex='(preg_replace.*\/e|`.*?\$.*?`|\bcreate_function\b|\bpassthru\b|\bshell_exec\b|\bexec\b|\bbase64_decode\b|\bedoced_46esab\b|\beval\b|\bsystem\b|\bproc_open\b|\bpopen\b|\bcurl_exec\b|\bcurl_multi_exec\b|\bparse_ini_file\b|\bshow_source\b|cmd\.exe|KAdot@ngs\.ru | 小组 | 专用 | 提权 | 木马 | PHP\s? 反弹 | shell\s? 加强版 | WScript\.shell|PHP\s?Shell|Eval\sPHP\sCode|Udp1-fsockopen|xxd|Send\sFlow|fsockopen\('(udp|tcp)|SYN\sFlood)';  
private $_shellcode='';  
private $_shellcode_line=array();  
private $_log_array= array();  
private $_log_count=0;  
private $action='';  
private $taskid=0;  
private $_tmp='';

0x02 对混淆的 Webshell 的判断

  1. 信息论方法

说到对加密的 Webshell 的判断, 就不得不提到信息论。香农信息论的基本点是用随机变量或随机矢量来表示信源,运用概率论和随机过程的理论来研究信息。经过编码的 Webshell 文件包含大量随机内容或特殊信息,这种文件将产生更多种的 ASCII 码,使用 ASCII 码计算文件的值会变大,即衡量了 Webshell 对于普通文件的不确定性。

公式说明:
其中,n 为 ASCII 码,对于 ASCII 为 127 的字符 (空格) 的判断无意义,去除;Xn 为第 n 位 ASCII 码在当前文件中出现的次数,S 为当前脚本文件的总字符数。
熵值 Info(A) 越大 (专业点儿可以写作 H(X)),为 Webshell 的可能性越大。
有关信息熵的更多内容,可以参考:Entropy (information theory)

这里简单说一句:信息熵实际上是这个被估测信源符号的信息量 (自信息) 的加权平均和. 这样可以判断出整个信源(待测文件)的混乱程度。

越是加密的文件,混乱程度往往越大,信息熵越大;反之亦然

  1. index of coincidence(IC, 重合指数)
    这里再使用一种方法:设 X 为一个长度为 n 的密文字符串,我们用集合来表示这个密文字符串 {X1,X2,…,Xn},X 的重合指数是指随机抽取任意两个元素相同的概率
    设 Ni 为字符 i 在这份密文中出现的次数。从 n 个密文字符中抽取两个字符的方式有

而其中 Ni 个 i 组成一对的方式有

于是,两式作比,即为从 X 中抽到两个字符都为 i 的概率。

加密文件的密文随机性变大,其重合指数变低。

编码后的 Webshell 类似于随机文件,而明文的 Webshell 由于具有用于提权的类似随机字符串或者包含二进制、十六进制序列的内容,因此使用扩展的 ASCII 码作为研究对象,即计算 254 个字符(除去 ASCII 为 127)的重合指数。那么对于脚本文件,如果重合指数越低,则为 Webshell 的可能性越大。

除上述介绍过的两种算法,还可以使用 base64 编码待检测脚本文件,对于加密的 Webshell 文件,由于 base64 编码消除了非 ASCII 的字符,这样实际上经 base64 编码过的件的字符就会具有这样的特征——更小且出现分布的不均衡,也就是说文件的压缩比会变大。通过这样的方式来检测 Webshell 的特征就是相对其他文件,

具有更大的压缩比

对于混淆的 Webshell 的判断,根据算法算出来的结果都是一些具体的数值,要根据实际设定好的

阈值

来进行比较,从而来判断是否为 Webshell。而阈值的设定由于不同的网站并不相同,因此还要经过具体的测试。

0x03 基于 PHP 扩展的 Webshell 实时动态检测

这种检测方法在目前比较流行,主要由于该方法采用对 PHP 调用危险函数的 HOOK,能够动态地检测出 Webshell,相对比较实时,迅速。在一定程度上,弥补了传统 Webshell 静态检测的不足,也相对更为方便。

PHP 在 WEB 容器内的运行方式主要有三种:模块加载方式运行,CGI 或 FastCGI 方式运行,三种方法都要经过 5 个阶段:模块初始化,请求初始化,代码执行,请求结束,模块结束。

在 PHP 的代码执行过程中,通过词法分析,将 PHP 代码转变为语言片段 (tokens),然后语法分析转化为有意义的表达式,最后将表达式编译为中间字节码 (opcodes). 中间字节码在 Zend 虚拟机执行,然后输出结果。
我们通过使用 PHP 内核提供的通用接口:zend_set_user_opcode_handler 来修改中间字节码对应的处理函数,达到对 PHP 内核 HOOK 的效果。 函数原型:
int zend_set_user_opcode_handler(zend_uchar opcode,opcode_handler_t handler)
前者为需要的 opcode; 后者为 hook 后的处理函数。
一般将 ZEND_INCLUDE_OR_EVAL,ZEND_DO_FCALL,ZEND_DO_FCALL_BY_NAME(参见下面举例函数) 等处理函数在扩展中使用 zend_set_user_opcode_handler 进行处理。
攻击者通过任意文件上传漏洞将 Webshell 上传到目录中。那么在文件上传后进行访问时,通过对文件所在路径是否在黑白名单中进行判断,如果不符合黑白名单规则,则视为攻击并及时拦截。
潜在的可以 HOOK 的危险函数:

命令执行类:passthru,system,popen,exec,shell_exec 等
文件系统类:fopen,opendir,dirname,pathinfo 等
数据库操作类:mysql_query,mysqli_query 等
回调函数:array_filter,array_reduce,usort,uksort 等
反射函数:ReflectionFunction

PHP 扩展采用纯 C 编写,给出主要代码供参考: 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
#include“config.h”
#include“php.h”
#include“php_ini.h”
#include“ext/standard/info.h”
#include“php_waf.h”
static int le_waf;
const zend_function_entry waf_functions[] = {
PHP_FE(confirm_waf_compiled,NULL),PHP_FE_END };
zend_module_entry waf_module_entry = {
#if ZEND_MODULE_API_NO >= 20010901
STANDARD_MODULE_HEADER,
#endif
“waf”,
waf_functions,
PHP_MINIT(waf),
PHP_MSHUTDOWN(waf),
PHP_RINIT(waf),
PHP_RSHUTDOWN(waf),
PHP_MINFO(waf),
#if ZEND_MODULE_API_NO >= 20010901
PHP_WAF_VERSION,
#endif
STANDARD_MODULE_PROPERTIES
};
#ifdef COMPILE_DL_WAF
ZEND_GET_MODULE(waf);
#endif
PHP_MINIT_FUNCTION(waf)
{ zend_set_user_opcode_handler(ZEND_INCLUDE_OR_EVAL,manage); // hook eval等
zend_set_user_opcode_handler(ZEND_DO_FCALL_BY_NAME,manage); //hook变量函数执行
zend_set_user_opcode_handler(ZEND_DO_FCALL,manage); //hook命令执行
return SUCCESS;
}
int manage() /*HOOK处理函数*/
{ char* filepath = (char*)zend_get_executed_filename(TSRMLS_C);
if(strstr(filepath,”upload”)) /*判断字符串“upload”是否是filepath的子串*/
{ php_printf(“请不要执行恶意代码
执行文件路径 :%s”,filepath);
return ZEND_USER_OPCODE_RETURN;}
else
return ZEND_USER_OPCODE_DISPATCH;
}


0x04 总结

除上述所采用的 Webshell 检测方法,目前还有基于网络的检测方式等。

例如,目前的研究有集中于在网络入口处配置 IDS 或者 WAF 来检测 Webshell 的方法。看论文的时候,看到 Fireeye 提出使用 Snort 配置特征规则来检测一句话木马. 另有通过配置 ModSecurty 的核心规则集 (CoreRule Sets) 来检测上传 Webshell 的行为的方式。

上述两种方法都是通过分析 http 请求中是否包括特殊关键词来判断攻击者是否正在上传 HTML 或者脚本文件。这种判断方式对于已经存在的 Webshell 表现无力。