安全检测关键技术之Web木马检测和绕过

Web木马一般是为了获得对网站的持久控制而留下的脚本。分为一句话木马和大马。一句话木马指的是并没有完整的网站控制功能的脚本，可以通过菜刀等客户端连接，从而获得完整的控制功能，例如。大马是本身有完整的控制功能的脚本。

Web木马功能

一般有文件管理，执行命令，数据库连接等。

例如下面一个大马的截图：

这里除了文件管理，数据库管理，执行命令，还有端口扫描，反弹shell（Back Connect）。

一句话木马通过中国菜刀连接，则能具备完整的控制功能。

检测方式和绕过方式

一、 WAF/NIDS（Snort）/NIPS

这几个系统的共同特点是，他们都是从网络层来检测，所以他们只能通过对Web木马的请求报文来识别。

1. 检测Request中是否含有某些关键字（检测能力10%）

一般都会通过Web木马执行一些常见的系统命令，例如ls，ifconfig，whoami之类的。在http的Post报文里面直接匹配该字符串。

绕过方式：对通信报文做编码，在Web木马里面先解码通信报文，再执行。

2. 检测Response是否含有某些关键字（检测能力90%）

很多WAF都可以检测Response中的关键字。这里一般是检测先前的web木马经常执行的一些命令的返回值。例如列目录命令，返回值里面会有/www/html/upload/这种类似的目录特征。

绕过方式：对返回Response做编码，在连接木马的客户端中解码该Response并显示。

注意，针对Response检测会比Request检测有效很多。因为目前观察到的默认的这些配置，无论是大马还是菜刀客户端，返回的Response都不是编码的。而Request里面，除了大马是默认不编码的，小马的Request都是默认编码的。

3. 检测Request是否编码（检测能力未知）

据说可以通过信息熵来做是否编码的检测，这种方法笔者没有实践过，不清楚实际效果

4. 检测Request的URL在网站所有访问中的分布是否正常（检测能力90%）

Web木马往往只被很少量的IP访问。使用这种方法还需要配合二次过滤，否则会产生大量误报。二次过滤我一般是采用，对Response再做一次检测，来避免。

绕过方式：可以针对他所作的二次过滤来进行绕过

无论用以上各种方法检测，总存在一种终极绕过方式：上传的web木马不再是由黑客直接请求，而是该web木马定时访问weibo等第三方服务，获取要执行的代码并执行。

二、HIDS/RASP

1. 检测文件中的敏感函数（检测能力10%）

在文件中查找某些敏感函数，如果发现，则报警。

绕过方式：对函数进行适当混淆即可

2. 检测web敏感函数的执行（检测能力96%）

如果是Java的Web程序，则在JVM上挂钩。如果是php的，则挂钩PHP的底层代码。在敏感函数调用时触发。

绕过方式：难以绕过。缺点是，对服务器的稳定性影响，同时针对不同的语言，要开发不同的agent。

3. 检测linux命令执行函数的执行（检测能力95%）

在linux里面，挂钩execve，获得执行的命令和进程。

绕过方式：难以绕过。但如果web木马不执行命令，仅进行文件创建修改，或者数据库连接之类的，则无法发现。缺点是，对服务器的性能和稳定性影响。同时需要做大量过滤来消除误报。

4. 检测文件是否编码（检测能力未知）

有个叫NeoPI的项目，检测能力未知。这个我没听说过哪个公司在实际环境里面使用。

5. 沙箱（检测能力98%）

将可疑文件传到沙箱服务器上。沙箱服务器里，对用户输入进行taint，如果进入敏感函数则报警。

绕过方式：难以绕过。缺点是，实现难度较大，需要对可疑文件进行执行。当遇到十分复杂的执行逻辑时，可能会出错。

无论用以上哪种方法，我们都要注意，在具体的实施过程中，可能要结合多种方式来消除误报。避免自以为是。