01加密惡意流量檢測

1.1 背景

有大量的惡意腳本、勒索病毒、代理、挖礦、遠控工具等采用加密手段來躲避安全防護和檢測。通常的安全產(chǎn)品對無法識別、無法檢測的流量會放行。其中WebShell是攻擊網(wǎng)站的一種惡意腳本，識別出WebShell文件或通信流量可以有效地阻止黑客進一步的攻擊行為。目前WebShell的檢測方法主要分為三大類：靜態(tài)檢測、動態(tài)檢測和日志檢測。

本文主要基于流量來實現(xiàn)WebShell連接工具的檢測。目前基于流量的檢測仍然面臨一些問題。現(xiàn)存的一些WebShell連接工具，比如冰蝎、哥斯拉、蟻劍等，都使用了混淆或加密機制，通過加密通信流量的方式來繞過傳統(tǒng)安全設(shè)備，逃避檢測。

1.2 AntSword 編碼方法

1.2.1 AntSword-default編碼

先來看一下默認(rèn)編碼模式流量。

默認(rèn)狀態(tài)下的流量還是比較友好的，存在很多函數(shù)可以進行特征定位，在經(jīng)過大量的數(shù)據(jù)包分析后，確定了特征如下：

特征1：在1處使用正則進行匹配這處的函數(shù)格式；

特征2：在2處對于函數(shù)先后順序進行匹配。

1.2.2 AntSword-base64編碼

Base64：是一種基于64個可打印字符來表示二進制數(shù)據(jù)的表示方法。

下面先來看一下數(shù)據(jù)包：

Base64編碼下從數(shù)據(jù)包中可以發(fā)現(xiàn)使用了eval，base64_decode等敏感函數(shù)，在經(jīng)過大量的數(shù)據(jù)包分析后，定位特征如下：

特征1：在1處使用正則進行匹配這處的函數(shù)格式；

特征2：取2處的兩個14位字符進行對比判斷是否相同。

1.2.3 AntSword-chr編碼

CHR： ASCII 值返回字符。ASCII 值可被指定為十進制值、八進制值或十六進制值。八進制值被定義為帶前置 0，十六進制值被定義為帶前置 0x。

下面先來看一下數(shù)據(jù)包：

Chr編碼下從數(shù)據(jù)包中可以發(fā)現(xiàn)存在大小寫混雜的eVAl函數(shù)，同時需要配合匹配編碼的格式與長度結(jié)合進行檢測。

特征1：使用正則匹配1處，eVal函數(shù)括號中cHr(*).ChR(*),對ChR(*)數(shù)量定義閾值配合檢測。

1.2.4 AntSword-chr16編碼

CHR16： ASCII 值返回字符。ASCII 值可被指定為十進制值、八進制值或十六進制值。八進制值被定義為帶前置 0，十六進制值被定義為帶前置 0x。

下面先來看一下數(shù)據(jù)包：

Chr16編碼下從數(shù)據(jù)包中可以發(fā)現(xiàn)也存在大小寫混雜的eVAl函數(shù)，與Chr編碼類似，也需要配合匹配編碼的格式與長度結(jié)合進行檢測。

特征1：使用正則匹配1處，eVal函數(shù)括號中cHr(0x*).ChR(0x*),對ChR(0x*)數(shù)量定義閾值配合檢測。

1.2.5 AntSword-rot13編碼

ROT13：編碼是把每一個字母在字母表中向前移動 13 個字母得到。數(shù)字和非字母字符保持不變。

下面先來看一下數(shù)據(jù)包：

ROT13編碼下從數(shù)據(jù)包中可以發(fā)現(xiàn)存在eval,str_rot13等敏感函數(shù)名稱，在經(jīng)過大量數(shù)據(jù)包分析后，確定了特征如下：

特征1：在1處使用正則進行匹配這處的函數(shù)格式；

特征2：取2處的14位字符進行對比，判斷是否相同。

02總結(jié)

在實戰(zhàn)測試中，通過上述幾點，對加密型 webshell 的流量進行分析，總結(jié)相關(guān)弱特征和強特征，多種特征結(jié)合，可以準(zhǔn)確識別這類 webshell 的通訊過程，及時處置和發(fā)現(xiàn)失陷主機。但上述基于字符串特征檢測的方案，需要安全運營人員逐一分析樣本，會消耗較大的人力，并且難以檢測變種的惡意外連流量。

隨著攻防技術(shù)之間的不斷博弈，惡意軟件也越來越隱匿。目前使用加密通信的惡意軟件家族超過200種，使用加密通信的惡意軟件占比超過40%，使用加密通信的惡意軟件幾乎覆蓋了所有常見類型。后續(xù)我們可能遇到的場景更多是HTTPS，AES，XOR等加密類型。對于這種加密類型，更好的解決方案是使用機器學(xué)習(xí)或者深度學(xué)習(xí)對流量特征進行識別。

隨著人工智能技術(shù)的發(fā)展，通過大量的測試驗證，人工智能用于加密流量安全檢測將是一種新技術(shù)手段。作為安全運營人員，唯有不斷探索和研究新的特征和方法，才能更好的應(yīng)對網(wǎng)絡(luò)流量中日益復(fù)雜的攻擊。

聲明：

1．本文檔由天融信安全團隊發(fā)布，未經(jīng)授權(quán)禁止第三方轉(zhuǎn)載及轉(zhuǎn)投。

2．本文檔所提到的技術(shù)內(nèi)容及資訊僅供參考，有關(guān)內(nèi)容可能會隨時更新，天融信不另行通知。

3．本文檔中提到的信息為正常公開的信息，若因本文檔或其所提到的任何信息引起了他人直接或間接的資料流失、利益損失，天融信及其員工不承擔(dān)任何責(zé)任。