51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

如何使用ssdeep检测webshell

作者:碳基体
安全 应用安全
最新版本的ModSecurity增加了ssdeep检测webshell的接口,于是猛地回忆起搞客户端安全(游戏安全)的时候买过一本书《恶意软件分析诀窍与工具箱-对抗“流氓”软件的技术与利器》,这本书就提到了使用ssdeep来查找恶意软件(webshell是恶意软件的一种,安全领域是互通的嘛),本文介绍如何使用它来检测webshell。

***版本的ModSecurity增加了ssdeep检测webshell的接口,于是猛地回忆起搞客户端安全(游戏安全)的时候买过一本书《恶意软件分析诀窍与工具箱-对抗“流氓”软件的技术与利器》,这本书就提到了使用ssdeep来查找恶意软件(webshell是恶意软件的一种,安全领域是互通的嘛),本文介绍如何使用它来检测webshell。

[[124555]]

一 、安装ssdeep

下载ssdeep并安装 http://ssdeep.sourceforge.net/

tar zxvf ssdeep-2.12.tar.gzcd ssdeep-2.12./configuremakemake install

二、识别webshell实例

接下来我们下载一个webshell,试一试如何使用ssdeep来识别webshell

以b374k.php为例

首先获得webshell b374k.php的ssdeep hash(fuzzy hashing)值,并存储到b37_hashs.txt文件中

ssdeep -b webshell/b374k.php >b37_hashs.txt

cat b37_hashs.txt

ssdeep,1.1--blocksize:hash:hash,filename384:UsaSwsF3RtJhwhxY5janx0Rig5xJx52FRsBU0ipgFHF3xR:44snx0Rig5x752EBUxpc5,"b374k.php"

然后使用这个值来获得相似度,相似度为100(当然啦,因为没有做任何修改)

ssdeep -bm b37_hashs.txt webshell/b374k.php

b374k.php matches b37_hashs.txt:b374k.php (100)

为了方便理解,我们拿ssdeep与md5做类比

md5 webshell/b374k.php

MD5 (webshell/b374k.php) = b8d3f0f9ad8b1083f24072f8cfe13e04

我们知道对文件取md5值是用于验证文件的完整性的,因为它对任意的修改都能感受到(hash碰撞小概率事件除外)

而ssdeep则用于计算文件相似度,它是通过计算上下文相关的分段hash值(fuzzy hashing)来判断文件相似度的。

在识别webshell的场景中,我们可以先获取样本的ssdeep hash值,然后设置相似度范围,来识别同一系列的变形shell

想想一个小白黑客获得一个好用的webshell后,***件事会干嘛?肯定是改变登录账号密码

cp webshell/b374k.php webshell/b374k.php.bak

vim webshell/b374k.php.bak

 

ssdeep检测webshell - 碳基体 - 碳基体

 

想雁过留痕的,估计还会改webshell的title等文本来标记到此一游

 

ssdeep检测webshell - 碳基体 - 碳基体

 

 

ssdeep检测webshell - 碳基体 - 碳基体

 

心思稍微重点的想绕过WAF的童鞋,说不定还会修改cookie中的关键字

例如批量替换cookie txtauth关键字

 

ssdeep检测webshell - 碳基体 - 碳基体

 

修改完毕后,分别用md5与ssdeep来看发生了什么

md5 webshell/b374k.php.bak

MD5 (webshell/b374k.php.bak) = b8d3f0f9ad8b1083f24072f8cfe13e04

md5值发生了变化,说明webshell文本内容发生了变化

接着使用ssdeep来查看修改后的webshell的相似度

ssdeep -bm b37_hashs.txt webshell/*

b374k.php matches b37_hashs.txt:b374k.php (100) #原始webshellb374k.php.bak matches b37_hashs.txt:b374k.php (97)#修改了登录账号与作者标记b374k.php.bak2 matches b37_hashs.txt:b374k.php (88)#修改了登录账号、作者标记、cookie特征

***,我们选择一个合适的相似度来判断是否为webshell(真实场景中,调参找到合适的阈值才是考验人的活...)

例如,只筛选相似度90以上的

ssdeep -t 90 -bm b37_hashs.txt webshell/*

b374k.php matches b37_hashs.txt:b374k.php (100)b374k.php.bak matches b37_hashs.txt:b374k.php (97)

三、扩展

除了使用ssdeep来查找相似的恶意软件(静态文本),我们还可以逆向思维,根据相似度来判断混在正常进程中的恶意进程,依据是进程在运行时由于变量变化而发生的变动是轻微的,而代码被加壳后的的变化是相当显著的,例如UPX加壳会使相似度瞬降到0%

参考:

http://blog.spiderlabs.com/2014/11/modsecurity-advanced-topic-of-the-week-detecting-malware-with-fuzzy-hashing.html

《恶意软件分析诀窍与工具箱-对抗“流氓”软件的技术与利器》

原文地址:http://danqingdani.blog.163.com/blog/static/1860941952014111291954550/

责任编辑:蓝雨泪 来源: 网易博客
webshell检测ssdeep
相关推荐
浅谈变形PHP webshell检测
webshell比如eval($POST[])大家都耳熟能详,近几年在常见的webshell基础上衍生了很多变种,加大了检测难度。

2013-06-03 15:15:51

如何使用Burpsuite破解Webshell密码
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。

2016-03-14 12:33:46

技术分享:窃密型WebShell检测方法
前段时间由于项目的需要也因为正在负责一个后门检测小工具的项目开发所以恶补了一下Webshell检测技术内容,一路天马行空写下此文和大家分享。小弟才疏学浅如有内容上的问题还请不吝指正。

2015-07-05 18:46:46

一周安全要闻:Web安全防护技术小汇总
随着互联网的飞速发展,Web应用已经占据了网络应用中的主流地位,然而绝大多数的网站都存在着不同程度的安全漏洞。据权威机构分析报告指出,Web应用漏洞数量占已发现漏洞总数的50%以上。本周安全要闻,我们将针对WEB安全防护来给您支支招,教你如何使用ssdeep检测webshell以及如何并打造一款可靠的WAF。

2014-12-22 10:03:13

Django3 使用 WebSocket 实现 WebShell
大致看了下觉得这不够有趣,翻了翻django的官方文档发现django原生是不支持websocket的,但django3之后支持了asgi协议可以自己实现websocket服务。

2021-11-16 10:45:35

WebSocketWebShellLinux
如何使用深度学习检测XSS
众所周知,深度学习在计算机视觉、自然语言处理、人工智能等领域取得了极大的进展,在安全领域也开始崭露头角走向了实际应用。本文中进行的实验主要以文本分类的方法,使用深度学习检测XSS攻击,由于本人是初学者,难免对算法本身的理解不够确切,所以本文尽量使用通俗简单的方式介绍算法,不会过多的讲解细节,以免误导大家。

2017-08-03 11:00:20

如何使用Python进行异常检测
异常检测可以作为异常值分析的一项统计任务来处理。但是如果我们开发一个机器学习模型,它可以像往常一样自动化,可以节省很多时间。

2020-10-15 12:00:01

Python 开发编程语言
如何正确使用网络入侵检测系统
随着网络安全风险系数不断提高,网络攻击和入侵事件与日俱增,作为对防火墙及其有益的补充,网络入侵检测能够帮助网络系统快速发现网络攻击的发生。

2010-08-26 10:36:44

如何使用Lighthouse性能检测工具
最近做性能检测工具,很多知识点不清楚,打算查缺补漏,接下来从官方提供的性能检测工具Lighthouse(灯塔)开始我们的学习,简单介绍了下Lighthouse的一些点。

2021-04-14 08:20:46

Lighthouse工具性能检测
XCon2016精彩议题回顾 《利用脚本虚拟机检测WebShell
云锁技术团队在研发脚本虚拟机的过程中也遇到很多困难和挑战,不过结合统计学、机器学习分类算法、深度优先算法等其他领域的技术,云锁脚本虚拟机模块的webshell识别率已经达到国际领先水准,云锁即将上线的V3版将引入该项技术,大幅度加强云锁对位置威胁的检测和拦截能力。

2016-08-31 14:59:39

软件虚拟化
如何使用Python检测和识别车牌?
本文将使用Python创建一个车牌检测和识别程序。该程序对输入图像进行处理,检测和识别车牌,最后显示车牌字符,作为输出内容。

2023-01-29 14:29:59

Python识别车牌
Webshell 高级样本收集
收集样本,那可是一件很有趣的精细活。从样本里,你可能会发现很多技巧,并进入另一个视角来领略攻击者的手法。

2020-08-02 08:02:26

Webshell样本安全
如何使用TrojanSourceFinder检测Trojan Source算法漏洞
TrojanSourceFinder是一款功能强大的漏洞检测工具,该工具可以帮助广大研究人员检测源代码中的TrojanSource算法漏洞。

2022-01-29 08:01:43

漏洞网络攻击
如何使用Ketshash检测可疑的特权NTLM连接
etshash是一款针对NTLM安全的分析与检测工具,该工具可以帮助广大研究人员基于事件查看器日志来分析和检测可疑的特权NTLM连接,尤其是PassTheHash攻击。

2023-02-07 09:32:53

如何使用Falco检测漏洞CVE-2020-8554
我们一起看一看如何使用Falco来检测何时有人试图使用外部IP创建集群类型的服务事件。

2021-02-07 14:39:22

Falco漏洞安全工具
如何检测Rootkit
Rootkit检测和蜜罐检测有相似之处,因为Rootkit通过搅乱内核欺骗不同用户,蜜罐则是通过搅乱内核来欺骗敌人,其实蜜罐和Rootkit就是同一种技术的的两个方面。

2017-01-12 16:02:18

如何使用SQLancer检测DBMS中的逻辑漏洞
SynthesizedQueryLancer工具是一款针对数据库管理系统DBMS的自动化安全测试工具。

2021-09-28 09:16:43

SQLancerDBMS逻辑漏洞
如何使用AI检测和对抗新冠病毒
人工智能和大数据技术已经成为中国应对新冠病毒的主要方式,特别是在检测和对抗新冠病毒方面,中国已经采用了一系列AI的解决方案。下面,我们从不同的场景出发,看一下人们是如何使用AI检测和对抗新冠病毒的。

2020-03-26 17:11:36

AI疫情新冠病毒
如何通过配置服务器防止黑客获取webshell
本文通过防止数据库被非法下载和上传,以及MSSQL注入三方面分析如何合理配置服务器,防止黑客获取webshell,进而入侵服务器。

2010-09-13 15:40:56

如何使用keimpx检测网络环境中的有效凭证
keimpx是一款功能强大的开源工具,该工具可以帮助广大研究人员快速检测网络环境中跟SMB相关的有效凭证。

2021-10-06 13:53:06

开源工具keimpx安全工具
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服