預(yù)熱:有圖可知,7和8很明顯不是很合群呢蛤。節(jié)點(diǎn)8的出度和入度均為0,屬于孤立節(jié)點(diǎn)棍郎,是webshell的可能性比較大。節(jié)點(diǎn)5和節(jié)點(diǎn)7的出度入度都為1银室,但是節(jié)點(diǎn)7屬于自回路涂佃,是webshell的可能性比較大。
1.webshell 的訪問特征(主要特征)
(1)少量的IP對其發(fā)起訪問
(2)總的訪問次數(shù)少
(3)網(wǎng)頁文件的訪問頻率
訪問頻率指的是一個(gè)網(wǎng)頁文件在單位時(shí)間內(nèi)的訪問次數(shù)蜈敢,通常正常的網(wǎng)站頁面由于向訪客提供服務(wù)因此受眾較廣辜荠,所以訪問頻率相對較高。而Webshell是由攻擊者植入抓狭,通常只有攻擊者清楚訪問路徑伯病,因此訪問頻率相對較低。值得注意的是否过,網(wǎng)站開始運(yùn)營時(shí)就會存在一定數(shù)量的正常頁面午笛,而Webshell通常在一段時(shí)間后才會出現(xiàn),因此統(tǒng)計(jì)和計(jì)算頁面訪問頻率的時(shí)候苗桂,針對某一頁面药磺,要采用該頁面第一次被訪問到最后一次被訪問的時(shí)間段作為統(tǒng)計(jì)區(qū)間,然后計(jì)算單位時(shí)間內(nèi)的訪問次數(shù)煤伟,得到訪問頻率癌佩。需要說明的是,單憑訪問頻率特征便锨,只能找出異常文件围辙,無法確定一定是Webshell,一些正常頁面的訪問頻率也會較低放案,比如后臺管理頁面或者網(wǎng)站建設(shè)初期技術(shù)人員留下的測試頁面訪問頻率也較低姚建。這里用f(A) 表示計(jì)算后的網(wǎng)站頁面A的訪問頻率,Tfirst(A)表示網(wǎng)站頁面A首次被訪問的時(shí)間卿叽,Tend(A) 表示網(wǎng)站頁面A最后一次被訪問的時(shí)間桥胞,COUNTFE(A)表示網(wǎng)站頁面A在時(shí)間Tfirst(A)到Tend(A)期間的被訪問次數(shù)恳守。因此,網(wǎng)站頁面A的訪問頻率計(jì)算如下:
時(shí)間單位可根據(jù)需要選擇小時(shí)贩虾、天催烘、星期、月等
結(jié)論:
a.在目錄深度一致缎罢,和起始時(shí)間段較長的情況下(以大于30天為判斷依據(jù))伊群,正常網(wǎng)頁文件的訪問頻率明顯高于Webshell文件。
b.目錄深度較高的正常網(wǎng)頁文件策精,/bbs/zW7/index.asp在三級目錄下舰始,訪問頻率也會較低,因此判斷是否為Webshell文件時(shí),要把訪問頻率和目錄深度結(jié)合起來進(jìn)行考慮。
c.單從Webshell文件的訪問頻率來看晰赞,有的數(shù)據(jù)特征呈現(xiàn)訪問頻率較高笼沥,仔細(xì)分析日志發(fā)現(xiàn),該類Webshell往往是被攻擊者當(dāng)做一次性后門使用,起始階段只有1天,而且訪客單一,且有時(shí)攻擊者會對自己上傳的Webshell文件進(jìn)行自動(dòng)化的利用和掃描沐兰,導(dǎo)致較短時(shí)間內(nèi)出現(xiàn)大量訪問行為,呈現(xiàn)高頻訪問特征蔽挠,如bg.asp;.jpg住闯。在這種情況下,僅憑借訪問頻率難以判斷澳淑。經(jīng)過分析和思考比原,為了準(zhǔn)確判斷此類Webshell,需要再結(jié)合文件的起始時(shí)間段和單位時(shí)間的獨(dú)立訪客數(shù)進(jìn)行綜合判斷偶惠,當(dāng)某個(gè)網(wǎng)頁文件的呈現(xiàn)起始時(shí)間段較短春寿,單位時(shí)間獨(dú)立訪客數(shù)較少的特征時(shí),可首先判定為異常文件忽孽,再結(jié)合訪問頻率進(jìn)行分析绑改。這樣便能有效解決誤報(bào)問題。
(4) 該頁面屬于孤立頁面
其中孤立頁面這個(gè)特征已產(chǎn)生誤報(bào)兄一,比如正常的掃描器行為厘线,常見漏洞掃描,PoC掃描出革,Webshell掃描(日志中經(jīng)吃熳常可以看到常見webshell路徑加一句話payload的掃描),這是最主要的干擾數(shù)據(jù),需要剔除耳璧。對于這種情況建議加白名單成箫。
2.webshell的path、文本特征(輔助特征)
除了weshell特有的訪問特征旨枯,我們也可以用path蹬昌、文本特征來輔助提取,我們來看一批真實(shí)的webshell:
發(fā)現(xiàn)不同手段植入的webshell路徑各有特征攀隔,例如上傳的webshell皂贩,如果上傳組件有保護(hù)措施的會進(jìn)行文件名重寫(示例中的32位的十六進(jìn)制的名字),并在路徑中還有日期特征昆汹,這類webshell還極易出現(xiàn)在靜態(tài)資源目錄(圖片明刷,樣式、配置)下满粗。但是把訪問頻率和path深度結(jié)合起來進(jìn)行考慮辈末。
3.webshell的時(shí)間特征(輔助特征)
將新增的頁面視為異常頁面,但這種方案的缺陷非常明顯
(1) 會漏掉已存在頁面寫馬的情況
(2) 會誤判正常的站點(diǎn)更新
于是將該特征當(dāng)做輔助特征映皆,用來還原webshell植入的過程本冲,如果接入了例如WAF這種防御產(chǎn)品,還可以探究是不是繞過了防御
4.webshell Payload特征(輔助特征)
WAF劫扒、IDS等基于流量的安全檢測防御工具,會把網(wǎng)絡(luò)通信中的payload特征(特別是攻擊特征)當(dāng)成主要的檢測手段
