攻防演练场景中面临的常见加密威胁-WebShell工具

一概述

Webshell是一种用于获得服务器执行操作权限的恶意脚本，在攻防演练场景中被广泛使用。它常被称为网马，并根据实现方式的不同可以分为一句话木马(小马)、大马和内存马。攻击者通常通过利用文件上传、命令执行、反序列化等漏洞将Webshell上传或注入目标服务器，并通过Webshell管理工具进行连接。一旦连接成功，攻击者可以使用Webshell管理工具发送指令来对目标服务器进行操作和控制。常见的操作包括获取权限、命令控制和窃取数据等。成功上传和连接WebShell会直接暴露内网给攻击者，并为进一步攻击提供了重要的条件。二常见WebShell管理工具

WebShell管理工具种类繁多，相较于菜刀等传统的WebShell管理工具，新型WebShell管理工具具备了更强大的定制功能，以及绕过流量检测和免杀的能力，使攻击者能够更加灵活和有效的进行攻击活动。目前主要使用的新型WebShell管理工具有以下几种：（一）冰蝎

冰蝎是一款基于Java开发的动态加密通信的新型Webshell管理工具。与传统的WebShell管理工具相比，其通信流量被加密且加密密钥由随机数函数动态生成，不易被检测。此外，4.0版本不再使用连接密码的概念，而是使用自定义传输协议的算法作为连接密码。因此，在通信过程中，冰蝎4.0版本不容易被传统流量侧威胁检测设备检测和拦截，给威胁狩猎带来了更大的挑战。（二）哥斯拉

哥斯拉是一款优秀的WebShell管理工具，使用Java开发，支持php、asp、jsp等多脚本环境。在通信过程中，对流量进行了多种加密和编码的组合，具有文件管理、数据库操作、命令执行、内存马、隧道反弹等功能。另外，它还支持一定程度的定制，例如修改默认请求头、请求体添加自定义内容等，为红队修改他的动静态特征提供了便利，在流量侧具有一定的绕过威胁检测的能力。（三）天蝎

天蝎是一款使用JavaFX技术开发的跨平台WebShell管理工具。此工具基于冰蝎进行Webshell加密通信的原理，采用预共享密钥对通信载荷进行加密，并且在载荷内容层面上也都支持多种不同的加密算法，用于保证通信的隐蔽性和安全性。在协议和载荷两侧都可以加密的情况下，传统IDS/NDR设备很难有效对其检出。（四）蚁剑

AntSword是一个开源的、跨平台的WebShell管理工具，支持一定程度的魔改，例如修改默认的UA等请求头等。另外，此工具支持自定义编码器和解码器，能够绕过传统WAF和传统威胁流量检测设备。三WebShell流量伪装技术

WebShell工具会使用各种流量伪装技术，以隐藏其恶意活动和逃避检测。以下是一些常见的流量伪装技术：（一）加密和自定义编码

WebShell可以使用加密算法和自定义编码方式对数据进行加密和混淆，以避免被检测和解析。

图1利用加密和自定义编码对请求内容进行加密（二）TLS加密协议

攻击者借助TLS加密协议与WebShell进行通信，使流量在网络传输过程中更加安全和隐蔽，传统的流量威胁检测设备很难进行检测。图2利用TLS通信协议对请求内容进行加密传输（三）云函数

攻击者可以将WebShell的功能部署在云函数平台上，利用云服务提供商的网络流量伪装机制，使其流量看起来像正常的云服务流量。图3

利用云函数伪装成云服务流量（四）伪装正常业务

攻击者可以将WebShell的通信模式和流量特征模拟成正常的业务流量，例如在请求参数中添加token、action等常见业务参数，另外也可以通过修改返回包中的GZIP文件头等特征来绕过流量威胁检测。图4

通过在参数中添加请求参数伪装为正常业务（五）魔改

可以通过WebShell管理工具提供的修改项实现对流量特征的修改，从而可以绕过基于传统字符串匹配或简单行为检测的流量检测设备。图5

利用修改项实现WebShell管理工具的魔改（六）源码定制

基于源码进行高度定制，从根本上修改工具在流量上的默认特征。相比于工具提供的修改项，具备更高程度的定制化，从而绕过基于传统字符串匹配或简单行为检测的流量检测设备。图6

通过修改源码实现对流量特征的高度定制四WebShell流量检测技术传统的WebShell检测方法主要基于字符串匹配和简单的行为分析，通过对已知的WebShell特征和行为进行识别和比对，来判断是否存在恶意的WebShell。然而，现如今面对层出不穷的流量伪装技术，传统检测方法难以有效应对，检测误报率和漏报率居高不下。如何对WebShell实现精准识别具有一定难度，特别是基于加密流量进行通信的WebShell检测更是行业难题。为了应对新型WebShell威胁，观成瞰云（ENS）-加密威胁智能检测系统结合以下几种方式实现有效检测：·基于对加密和编码特征的分析，实现对各类具有加密载荷的WebShell进行识别；·基于多流行为检测模型实现对魔改的WebShell和弱特征的WebShell进行识别；·基于AI模型实现对通过HTTP通信的已知WebShell和未知WebShell进行识别；·基于AI模型实现对通过TLS加密通信的已知WebShell和未知WebShell进行识别；·基于AI模型实现对各类WebShell文件上传行为进行识别。五产品检测观成瞰云（ENS）-加密威胁智能检测系统对WebShell流量的检出结果。图7

WebShell检出结果六总结

在攻防演练场景中，了解WebShell的特点和常见的加密威胁对于有效防范和应对攻击至关重要。同时，持续更新和学习新的检测技术和工具，保