正文

攻防演练场景中面临的常见加密威胁-WebShell工具

admin
admin V管理员 /0 评论 /45 阅读
1018
此篇文章发布距今已超过36天,您需要注意文章的内容或图片是否可用!

概 述  

Webshell是一种用于获得服务器执行操作权限的恶意脚本,在攻防演练场景中被广泛使用。它常被称为网马,并根据实现方式的不同可以分为一句话木马(小马)、大马和内存马。攻击者通常通过利用文件上传、命令执行、反序列化等漏洞将Webshell上传或注入目标服务器,并通过Webshell管理工具进行连接。一旦连接成功,攻击者可以使用Webshell管理工具发送指令来对目标服务器进行操作和控制。常见的操作包括获取权限、命令控制和窃取数据等。成功上传和连接WebShell会直接暴露内网给攻击者,并为进一步攻击提供了重要的条件。

常见WebShell管理工具 

WebShell管理工具种类繁多,相较于菜刀等传统的WebShell管理工具,新型WebShell管理工具具备了更强大的定制功能,以及绕过流量检测和免杀的能力,使攻击者能够更加灵活和有效的进行攻击活动。目前主要使用的新型WebShell管理工具有以下几种:

(一)冰蝎  

冰蝎是一款基于Java开发的动态加密通信的新型Webshell管理工具。与传统的WebShell管理工具相比,其通信流量被加密且加密密钥由随机数函数动态生成,不易被检测。此外,4.0版本不再使用连接密码的概念,而是使用自定义传输协议的算法作为连接密码。因此,在通信过程中,冰蝎4.0版本不容易被传统流量侧威胁检测设备检测和拦截,给威胁狩猎带来了更大的挑战。

二)哥斯拉  

哥斯拉是一款优秀的WebShell管理工具,使用Java开发,支持php、asp、jsp等多脚本环境。在通信过程中,对流量进行了多种加密和编码的组合,具有文件管理、数据库操作、命令执行、内存马、隧道反弹等功能。另外,它还支持一定程度的定制,例如修改默认请求头、请求体添加自定义内容等,为红队修改他的动静态特征提供了便利,在流量侧具有一定的绕过威胁检测的能力。

(三)天蝎  

天蝎是一款使用JavaFX技术开发的跨平台WebShell管理工具。此工具基于冰蝎进行Webshell加密通信的原理,采用预共享密钥对通信载荷进行加密,并且在载荷内容层面上也都支持多种不同的加密算法,用于保证通信的隐蔽性和安全性。在协议和载荷两侧都可以加密的情况下,传统IDS/NDR设备很难有效对其检出。

(四)蚁剑

AntSword是一个开源的、跨平台的WebShell管理工具,支持一定程度的魔改,例如修改默认的UA等请求头等。另外,此工具支持自定义编码器和解码器,能够绕过传统WAF和传统威胁流量检测设备。

WebShell流量伪装技术  

WebShell工具会使用各种流量伪装技术,以隐藏其恶意活动和逃避检测。以下是一些常见的流量伪装技术:

(一)加密和自定义编码  

WebShell可以使用加密算法和自定义编码方式对数据进行加密和混淆,以避免被检测和解析。
图 1 利用加密和自定义编码对请求内容进行加密

(二)TLS加密协议

攻击者借助TLS加密协议与WebShell进行通信,使流量在网络传输过程中更加安全和隐蔽,传统的流量威胁检测设备很难进行检测。
图 2 利用TLS通信协议对请求内容进行加密传输

(三)云函数  

攻击者可以将WebShell的功能部署在云函数平台上,利用云服务提供商的网络流量伪装机制,使其流量看起来像正常的云服务流量。
图3  利用云函数伪装成云服务流量

(四)伪装正常业务  

攻击者可以将WebShell的通信模式和流量特征模拟成正常的业务流量,例如在请求参数中添加token、action等常见业务参数,另外也可以通过修改返回包中的GZIP文件头等特征来绕过流量威胁检测。
图4  通过在参数中添加请求参数伪装为正常业务

(五)魔改

可以通过WebShell管理工具提供的修改项实现对流量特征的修改,从而可以绕过基于传统字符串匹配或简单行为检测的流量检测设备。
图5  利用修改项实现WebShell管理工具的魔改

(六)源码定制

基于源码进行高度定制,从根本上修改工具在流量上的默认特征。相比于工具提供的修改项,具备更高程度的定制化,从而绕过基于传统字符串匹配或简单行为检测的流量检测设备。
图6  通过修改源码实现对流量特征的高度定制

WebShell流量检测技术

传统的WebShell检测方法主要基于字符串匹配和简单的行为分析,通过对已知的WebShell特征和行为进行识别和比对,来判断是否存在恶意的WebShell。
然而,现如今面对层出不穷的流量伪装技术,传统检测方法难以有效应对,检测误报率和漏报率居高不下。如何对WebShell实现精准识别具有一定难度,特别是基于加密流量进行通信的WebShell检测更是行业难题。
为了应对新型WebShell威胁,观成瞰云(ENS)-加密威胁智能检测系统结合以下几种方式实现有效检测:
·基于对加密和编码特征的分析,实现对各类具有加密载荷的WebShell进行识别;
·基于多流行为检测模型实现对魔改的WebShell和弱特征的WebShell进行识别;
·基于AI模型实现对通过HTTP通信的已知WebShell和未知WebShell进行识别;
·基于AI模型实现对通过TLS加密通信的已知WebShell和未知WebShell进行识别;
·基于AI模型实现对各类WebShell文件上传行为进行识别。

产品检测

观成瞰云(ENS)-加密威胁智能检测系统对WebShell流量的检出结果。
图7  WebShell检出结果

总 结  

在攻防演练场景中,了解WebShell的特点和常见的加密威胁对于有效防范和应对攻击至关重要。同时,持续更新和学习新的检测技术和工具,保持对最新威胁的警觉性,是确保网络安全的重要一环。观成科技安全研究团队通过对这类攻防演练场景中常见的WebShell工具保持持续跟踪,研究其加密流量通信的原理与检测方法,可以精准识别各类基于HTTP和TLS协议的多种已知和未知WebShell。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com