竊密型WebShell檢測方法

■齊建軍

竊密型WebShell檢測方法

■齊建軍

針對Webshell后門的檢測方法一般是靜態特征屬性的檢測方式，此類方式一般可查殺常見的破壞型后門，但在巨大的經濟利益誘惑下，以竊取網站內敏感信息為目的的竊密型后門越來越多。此類后門往往采用特殊的變型方式與業務相融合，傳統方法難以檢測，本文針對竊密型后門進行了研究分析，通過研究多種竊密型后門的特點及原理，提出了一種全新的檢測方法，豐富了竊密型腳本后門的檢測手段，并就相關核心問題進行了分析和闡述。

Webshell后門

隨著信息化的不斷發展，信息系統所承載的不僅僅是新聞發布、內容展示等傳統功能，同時還承擔了信息查詢、訂單處理、事務管理等業務，其中往往涉及一些需要保密的信息，竊密型web應用腳本后門應運而生，其以竊密為主要目的，獲取系統保密信息，危害極大。

“Web”的含義是需要服務器開放web服務，“shell”的含義是取得對服務器某種程度上的操作權限,常常被稱為匿名用戶（入侵者）通過網站端口對網站服務器的某種程度的操作權限。由于Webshell大多是以動態腳本的形式出現，也有人稱之為網站后門工具或者WEB應用腳本后門。但由于此類后門往往與系統契合度較高，利用了系統部分功能模塊以實現以假亂真、長期潛伏的目的。該類后門往往不具備文件操作、命令執行等常見木馬功能，多數只具備查詢數據庫功能，可直接調用系統自身的存儲過程來連接數據庫，與系統契合度高。

Webshell后門檢測

目前針對Webshell的特征檢測一般是通過特征比對及文件屬性異常的靜態檢測和基于訪問情況、行為模式特征的動態檢測方式進行查殺，由于竊密型Webshell通常會偽裝成正常的WEB腳本文件，靜態特征檢測及動態行為檢測都無法有效的針對此類后門進行檢測。

傳統及現有的檢測方法

1靜態檢測

靜態特征檢測是指對腳本文件中所使用的關鍵詞、高危函數、文件修改的時間、文件權限、文件的所有者以及和其它文件的關聯性等多個維度的特征進行檢測，即先建立一個惡意字符串特征庫，例如：“組專用大馬|提權|木馬|PHPs？反彈提權cmd執行”，“WScript.Shell、Shell.Application、Eval（）、Excute（）、Set Server、Run（）、Exec（）、ShellExcute（）”，同時對WEB文件修改時間，文件權限以及文件所有者等進行確認。通常情況下WEB文件不會包含上述特征或者特征異常，通過與特征庫的比對檢索出高危腳本文件。

該檢測方法的優點：可快速檢測，快速定位；

缺點：容易誤報，無法對加密或者經過特殊處理的Webshell文件進行檢測。尤其是針對竊密型Webshell無法做到準確的檢測，因為竊密型Webshell通常具有和正常的WEB腳本文件具有相似的特征。

2動態檢測

動態特征檢測通過Webshell運行時使用的系統命令或者網絡流量及狀態的異常來判斷動作的威脅程度，Webshell通常會被加密從而避免靜態特征的檢測，當Webshell運行時就必須向系統發送系統命令來達到控制系統或者操作數據庫的目的，通過檢測系統調用來監測甚至攔截系統命令被執行，從行為模式上深度檢測腳本文件的安全性。

優點：可用于網站集群，對新型變種腳本有檢測能力。

缺點：針對特定用途的后門較難檢測,實施難度較大。

3日志分析

使用Webshell一般不會在系統日志中留下記錄，但是會在網站的web日志中留下Webshell頁面的訪問數據和數據提交記錄。日志分析檢測技術通過大量的日志文件建立請求模型從而檢測出異常文件，稱之為：HTTP異常請求模型檢測。例如：一個平時是GET的請求突然有了POST請求并且返回代碼為200、某個頁面的訪問者IP、訪問時間具有規律性等。

優點：采用了一定數據分析的方式，網站的訪問量達到一定量級時這種檢測方法的結果具有較大參考價值。

缺點：存在一定誤報，對于大量的訪問日志，檢測工具的處理能力和效率會比較低。

4統計學

在Webshell后門檢測中被使用較為廣泛的一種方法是統計學方法，NeoPi是國外流行的一個基于統計學的Webshell后門檢測工具，它使用五種計學方法在腳本文件中搜索潛在的被混淆或被編碼的惡意代碼。

五種檢測方法：

1、信息熵（Entropy）：通過使用ASCII碼表來衡量文件的不確定性；

2、最長單詞（LongestWord）：最長的字符串也許潛在的被編碼或被混淆；

3、重合指數（Indexof Coincidence）：低重合指數預示文件代碼潛在的被加密或被混效過；

4、特征（Signature）：在文件中搜索已知的惡意代碼字符串片段；

5、壓縮（Compression）：對比文件的壓縮比。

采用這種檢測方法也存在明顯的弱點，NeoPi的檢測重心在于識別混淆代碼，它常常在識別模糊代碼或者混淆編排的木馬方面表現良好。未經模糊處理的代碼對于NeoPi的檢測機制較為透明。如果代碼整合于系統中的其它腳本之上，這種“正?！钡奈募O可能無法被NeoPi識別出來。

傳統檢測方法的缺陷

現有技術是針對普通的腳本后門、以控制服務器為目的、通常包含較為明顯的靜態特征或者行為模式，不能對竊密型后門進行有效檢測。

由于業務系統更新頻繁，WEB腳本文件相關的屬性經常發生變化所以偏重于文件屬性檢測的方法往往會產生更多的誤報，基于動態行為檢測的方法往往技術難度較大，難以實現，而且對系統造成的性能影響較大，甚至可能對系統穩定性造成影響，基于日志的檢測方法，一方面，由于業務功能較多且復雜，部分功能可能很少會被用到，其日志訪問可能會命中某些檢測規則從而造成更多的誤報，另一方面，大量的日志記錄處理起來會對服務器性能產生負擔、而且由于日志量巨大檢測過程消耗時間長，檢測速度較慢。而竊密型Webshell后門往往會模擬正常的數據庫操作、不具有較為明顯靜態特殊屬性、被訪問的次數比較少無法形成較為明顯的訪問特征，通過日志分析也很難發現。

竊密型Webshell后門檢測方法設計

1基于數據庫操作審計的檢測方式

針對竊密型Webshell必須具有操作數據庫的能力，可以引申出一種新的檢測方法，通過分析正常WEB腳本文件和竊密型Webshell對數據庫操作的差異進行分析是本檢測方法所重點研究的方向。

正常情況下WEB站點進行數據操作的過程應該是重復性且較為復雜的查詢過程，這種查詢通常精確度非常高，查詢過程不會出現類似于“select★from”這種查詢語句。正常的WEB腳本在進行數據庫操作的過程中也不會出現跨越數據庫查詢的情況，一旦出現這種現象基本可以判斷為非正常的WEB腳本操作過程。

就以上思路設計如下的檢測方案：

審計數據操作記錄。通過審計數據庫操作記錄可以單獨的為每一個WEB站點甚至WEB站點中的每一個腳步文件建立查詢請求模型，通過幾天甚至數月的自我學習過程來學習并維護一份查詢請求數據庫。該數據庫的內容包含了每次查詢操作的詳細信息、請求歸類和分析結果。并且建立動態查詢請求規則，Agent一旦檢測到違反該規則的查詢請求后會向Server端傳遞相關信息，Server端再結合其它的掃描過程綜合判斷發起請求的文件是否為Webshell，并最終決定是否向管理員報警。

2建立機器學習日志分析系統

由于數據庫操作記錄日志量非常大，使用人工的方法難以進行精確篩選和審計。所以需要建立一套機器自學習的日志審計系統。該日志審計系統主要基于查詢模型白名單學習與數學統計模型這兩方面進行設計。

查詢模型白名單學習系統：

在一個網站系統中，由于系統業務邏輯相對固定，執行的數據庫查詢語句可以歸類并且是可預測的，基于這些事實可以建立一套自學習系統，在無人值守的狀態下進行無監督的機器學習。在對日志進行泛化處理之后，根據特征（包括時間，查詢語句，參數等）建立N維的特征向量。使用k-均值聚類算法對日志進行初步分組。其中對參數的處理使用局部加權線性回歸算法預測參數類型。對聚類后的數據進行抽樣，使用貝葉斯決策樹進行抽樣結果的機器決策。

數學統計模型系統：

由于竊密型web應用腳本后門只服務于入侵者，所執行的查詢語句也是超出業務系統正常使用邏輯的，在一個有一定訪問量級的業務系統中，竊密使用的查詢語句是執行量最少的。對業務系統數據庫的日志進行參數歸一化處理后，正常應用中的查詢語句與竊密使用的語句從數量上來看一定有數量級的差距?？梢越⒉樵冋Z句的統計模型，也可以對竊密型Webshell行為進行審計。

該方法有兩種實現過程：

一種是直接在數據庫服務器上增加日志審計客戶端，可以實時的審計數據庫操作記錄。

優點是審計全面并且處于攻擊后方被人為破壞幾率較?。?/p>

缺點是數據庫在開啟較多的日志記錄的情況下會造成嚴重的性能負擔。

另外一種實現是方法是在WEB服務器上部署代理型Agent，代理型Agent可以代理所有的數據庫操作過程，精確的檢索出異常操作，并且較審計型檢測速度快。代理型Agent可以經過優化后與中間件進行深度結合能夠追蹤到發起數據查詢請求的具體腳本文件。

優點是檢測速度快，精準度高，可以查詢到發起查詢操作的具體的腳本文件；

缺點是：位于前端WEB服務器上被破壞的可能性較大。學習過程時間稍長。

只依靠一種檢測方法也是很難以進行全面檢測的。在真實的環境中進行部署檢測系統時需要同步的部署傳統檢測方法的系統，來達到互補和增強檢測結果可行度的目的。