ModSecurity技巧:使用ssdeep检测Webshell

ModSecurity技巧:使用ssdeep检测Webshell

黑客软件访客2021-10-12 0:23:005622A+A-

  最新版本的ModSecurity增加了ssdeep检测webshell的接口,于是猛地回忆起搞客户端安全(游戏安全)的时候买过一本书《恶意软件分析诀窍与工具箱-对抗“流氓”软件的技术与利器》,这本书就提到了用ssdeep来查找恶意软件(webshell是恶意软件的一种,安全领域是互通的嘛)。本文介绍如何使用它来检测webshell。

  一 、安装ssdeep

  下载ssdeep并安装 http://ssdeep.sourceforge.net/

  tar zxvf ssdeep-2.12.tar.gz

  cd ssdeep-2.12

  ./configure

  make

  make install

  二、识别webshell实例

  接下来我们下载一个webshell,试一试如何使用ssdeep来识别webshell

  以b374k.php为例

  首先获得webshell b374k.php的ssdeep hash(fuzzy hashing)值,并存储到b37_hashs.txt文件中

  ssdeep -b webshell/b374k.php >b37_hashs.txt

  cat b37_hashs.txt

  ssdeep,1.1–blocksize:hash:hash,filename

  384:UsaSwsF3RtJhwhxY5janx0Rig5xJx52FRsBU0ipgFHF3xR:44snx0Rig5x752EBUxpc5,"b374k.php"

  然后使用这个值来获得相似度,相似度为100(当然啦,因为没有做任何修改)

  ssdeep -bm b37_hashs.txt webshell/b374k.php

  b374k.php matches b37_hashs.txt:b374k.php (100)

  为了方便理解,我们拿ssdeep与md5做类比

  md5 webshell/b374k.php

  MD5 (webshell/b374k.php) = b8d3f0f9ad8b1083f24072f8cfe13e04

  我们知道对文件取md5值是用于验证文件的完整性的,因为它对任意的修改都能感受到(hash碰撞小概率事件除外),而ssdeep则用于计算文件相似度,它是通过计算上下文相关的分段hash值(fuzzy hashing)来判断文件相似度的。在识别webshell的场景中,我们可以先获取样本的ssdeep hash值,然后设置相似度范围,来识别同一系列的变形shell。想想一个小白黑客获得一个好用的webshell后,第一件事会干嘛?肯定是改变登录账号密码。

  cp webshell/b374k.php webshell/b374k.php.bak

  vim webshell/b374k.php.bak

  ssdeep检测webshell – 碳基体 – 碳基体

  想雁过留痕的,估计还会改webshell的title等文本来标记到此一游。

  ssdeep检测webshell – 碳基体 – 碳基体

  ssdeep检测webshell – 碳基体 – 碳基体

  心思稍微重点的想绕过WAF的童鞋,说不定还会修改cookie中的关键字,例如批量替换cookie txtauth关键字。

  ssdeep检测webshell – 碳基体 – 碳基体

  修改完毕后,分别用md5与ssdeep来看发生了什么。

  md5 webshell/b374k.php.bak

  MD5 (webshell/b374k.php.bak) = b8d3f0f9ad8b1083f24072f8cfe13e04

  md5值发生了变化,说明webshell文本内容发生了变化;接着使用ssdeep来查看修改后的webshell的相似度

  ssdeep -bm b37_hashs.txt webshell/*

  b374k.php matches b37_hashs.txt:b374k.php (100) #原始webshell

  b374k.php.bak matches b37_hashs.txt:b374k.php (97)#修改了登录账号与作者标记

  b374k.php.bak2 matches b37_hashs.txt:b374k.php (88)#修改了登录账号、作者标记、cookie特征

  最后,我们选择一个合适的相似度来判断是否为webshell(真实场景中,调参找到合适的阈值才是考验人的活…)。

  例如,只筛选相似度90以上的

  ssdeep -t 90 -bm b37_hashs.txt webshell/*

  b374k.php matches b37_hashs.txt:b374k.php (100)

  b374k.php.bak matches b37_hashs.txt:b374k.php (97)

  三、扩展

  除了使用ssdeep来查找相似的恶意软件(静态文本),我们还可以逆向思维,根据相似度来判断混在正常进程中的恶意进程,依据是进程在运行时由于变量变化而发生的变动是轻微的,而代码被加壳后的的变化是相当显著的,例如UPX加壳会使相似度瞬降到0%。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 痴者珞棠2022-05-29 21:39:11
  • 想绕过WAF的童鞋,说不定还会修改cookie中的关键字,例如批量替换cookie txtauth关键字。  ssdeep检测webshell – 碳基体 – 碳基体
  • 晴枙忆沫2022-05-29 17:41:20
  • z  cd ssdeep-2.12  ./configure  make  make install  二、识别webshell实例  接下来我们下载一个webshell,试一试如何使用ssdeep来识别webshell  以b374k.php为例  首

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理