常见webshell客户端的流量特征及检测思路

文章来源与合天智汇　

概述：

　　首先了解一下什么是webshell客户端，先问个问题,什么是客户端,什么是服务端? 很简单，提供服务的就是服务端，要求被服务的就是客户端。那么回到我们的场景中，如果已经种了后门，用于连接后门的程序是要求被服务的，比如执行个ps，目的是为了得到后门所在主机的进程列表，是“被服务“的，所以称之为客户端。本文将在后续介绍一系列有关webshell客户端的流量监测手法。

　分析：

　　WebShell客户端是一种用于服务器上WebShell后门与攻击客户端之间进行通信的程序,我们通常可以根据WebShell客户端的流量来判断服务器上是否存在WebShell后门。

　　如今国内外常用的WebShell客户端有如下几种：

• 中国菜刀(使用量最大,适用范围最广的WebShell客户端)；

• 蚁剑(一种常用的WebShell客户端)；

• 冰蝎(流量加密客户端)；

• Cknife(C刀,使用Java语言编写)

• Weevely(kali中的中国菜刀).

　　接下来分别介绍其流量特征。

一、中国菜刀

　　

　　中国菜刀自诞生以来已经历了多个版本的更新,其功能、隐秘性也随着更新得到很大提升.菜刀现在主流有三个版本在使用,分别为2011版、2014版、2016版,这三个版本中从2011版本到2014版本是功能性上进行了增强,从2014版本到2016版本是在隐秘性上进行了增强,2016版本的菜刀流量加入了混淆,使其链接流量更具有混淆性.

    中国菜刀基本支持PHP、JSP、ASP这三种WebShell的连接,这三种语言所对应的流量各有差异,各个版本也有不用.下面将按照不同版本不同语言组合进行分析.其中2011版和2014版菜刀流量特征基本一致,所以放在一起分析.

中国菜刀2011版本及2014版本各语言WebShell链接流量特征

 　　（1）PHP类webshell链接流量

 

 

 　　　　

　　　　body解码如下：

　　　　

　　　　其中特征点有如下三部分,

　　　　　　第一：“eval”,eval函数用于执行传递的攻击payload,这是必不可少的；

　　　　　　第二：(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是将攻击载荷使用Base64编码,以避免被检测；

　　　　　　第三：&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_POST[z0]接收到的数据,该参数值是使用Base64编码的,所以可以利用base64解码可以看到攻击明文.

　　　　注：

　　　　　　1.有少数时候eval方法会被assert方法替代.

　　　　　　2.$_POST也会被$_GET、$_REQUEST替代.

　　　　　　3.z0是菜刀默认的参数,这个地方也有可能被修改为其他参数名.

　　（2）JSP类webshell链接流量

　　　　　　　　

　　　　　　该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=参数用来加入攻击载荷.

　　　　　　注：其中参数名i、z0、z1这种参数名是会变的,但是其参数值以及这种形式是不会变得,最主要就是第一个参数值在A-Q,这种是不变的.

 　　（3）ASP类webshell链接流量

　　　　　　

 

　　　　　　body解码

 

 　　　　　　

　　　　　　其中特征点有如下三部分,

　　　　　　第一：“Execute”,Execute函数用于执行传递的攻击payload,这是必不可少的,这个等同于php类中eval函数；

　　　　　　第二：OnError ResumeNext,这部分是大部分ASP客户端中必有的流量,能保证不管前面出任何错,继续执行以下代码.

　　　　　　第三：Response.Write和Response.End是必有的,是来完善整个操作的.

　　　　　　这种流量主要识别这几部分特征,在正常流量中基本没有.

　　　　　　注：OnError Resume Next这个特征在大部分流量中存在,极少数情况没有.

　　　　　　中国菜刀2016版本各语言WebShell链接流量特征

二、中国蚁剑（AntSword）

　　　　　　

 

 

 　　　　　　 蚁剑的很多代码源于中国菜刀,所以他的链接流量与中国菜刀很相似,但是蚁剑可以扩充性很好,可以对进行加密、混淆等绕过处理.蚁剑默认支持ASP以及PHP的webshell链接.

 　　　　（1）PHP类webshell链接流量

　　　　　　　　

 

 

 　　　　　　　　bodyURL解码后：

　　　　　　　　

 

 

 　　　　　　　　其中流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以　　　　　　　　较好发现.

　　　　（2）ASP类webshell链接流量

　　　　　　　　

 

 

 　　　　　　　　bodyURL解码

　　　　　　　　　　　　　　

　　　　　　　　我们可以看出蚁剑针对ASP类的WebShell流量与菜刀的流量很像,其中特征也是相同,如OnError ResumeNext、Response.End、Response.Write,其中execute在蚁剑中被打断混淆了,变成了拼接　　　　　　　　形式Ex"&cHr(101)&"cute,同时该流量中也使用了eval参数,可以被认为明显特征.

　　　　　　　　蚁剑绕过特征流量

    　　　　　　　由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x......=”这种形式(下划线可替换为其他)

　　　　　　　　所以默认以_0x开头的参数名，后面为加密数据的数据包也可识别为蚁剑的流量特征。

三、Weekly

 　　　　　　　　

 

 

 　　　　　　　　Weevely是kail中自带的一款功能强大的WebShell客户端,该链接器首先自己生成webshell,在将该webshell上传至目的服务器后,通过Weevely进行链接,该链接流量属于加密流量,但是在该流量中　　　　　　　　还可以发现特征,进行区分.

　　　　　　　　

 

 　　　　　　　　该流量中的攻击载荷存在于Referer中,其中Referer中的路径中php的查询参数有以下参数名或值,即sa=、source=web、cd=数字、url=、ei=,即可确定该流量为客户端流量。