永利皇宫
公司新闻
让网络空间更有序

联系我们

*姓名
*单位
*电话
*验证码
发送验证码
邮箱
*需求概述
烽火三十六技丨永利皇宫RayGate现已支持对加密webshell管理工具冰蝎、蚁剑的检测

发布日期:2021/04/09文章来源:永利皇宫

webshell是一种常用的网站后门工具,绝大多数黑客通过webshell长期稳定控制系统,对网络中其他机器进行攻击;但webshell的隐患依然没有受到足够的重视。尤其是近年来,加密webshell因其流量加密而难以被传统的WAF和IDS设备检测出来而越来越流行,为安全监控和管理工作带来很大的挑战。目前较为常见的动态加密WebShell管理工具为冰蝎和蚁剑。

 

除常规webshell检测外,永利皇宫网络资产安全治理平台RayGate已支持针对冰蝎2、冰蝎3(含冰蝎3.7特征检测规则)和蚁剑的检测。

 

webshell的危害

 

如果黑客成功在网站中植入了webshell,那么一个“魔盒”就被放置于网站之下,而开启它的“钥匙”就掌握在黑客的手中。他们可以通过它,获取服务器系统权限、控制“肉鸡”发起DDos攻击、篡改网站、网页挂马、作为用于隐藏自己的代理服务器、内部扫描、植入暗链/黑链等进行一系列攻击行为。

 

webshell的常见检测方法

 

静态检测:通过匹配特征码、特征值、危险函数来查找webshell,但只能查找已知的webshell。主流的检测方法有关键字检查(Keywords Matching)、审核代码逻辑(Code Logic Review)等。

 

动态检测:webshell在执行时表现出来的特征,我们称为动态特征。主流的检测方法有文件状态对比(File Info Comparison)、运行特征(Feature Matching)、访问行为检测(Access Behavior)等。

 

两种webshell检测方法对比:

 

QQ截图20210412104958.png


结合两类检测方法的优缺点,永利皇宫网络资产安全治理平台(RayGate)对webshell检测进行了两点改善:

 

1、基于黑客行为进行检测,检查黑客在目标机器中进行的操作;

2、选择功能模块特征和CSS样式特征作为弱特征,对webshell进行检查,以降低漏报率和误报率。

 

如何应对webshell

 

为了有效而准确地提供webshell检测服务,从实时流量到主机系统,辅之以安全应急响应服务,永利皇宫推出了webshell检测组合拳:

 

针对实时流量,推出治理平台webshell检测功能


可以基于时间进行筛选,在疑似或者已经发生风险的时间段内进行重点检查,目前永利皇宫RayGate已经支持对冰蝎2、冰蝎3(含冰蝎3.7特征检测规则)以及蚁剑的检测。

 

002.png

 

也可以从webshell的分类和匹配特征维度进行筛选,webshell的分类主要包含:

 

√  探测(谁在寻找网站上存在的后门)

√  疑似后门(网站上可能存在的后门)

√  已确定后门(确认一定存在的后门)

匹配特征主要包括:

 

√ 上传文件特征(根据上传的文件是否包含网站后门的特征值进行检测)

√ 请求参数特征(根据webshell与黑客交互时候传递的特征参数进行检测)

√ 相应页面特征(根据黑客行为和指定页面特征进行检测)

当所有自定义服务均不开启时,设备自动选择默认模式。在页面展示上,具体页面如下:

 

003.png

004.png

005.png

 

7*24小时的专业安全应急响应服务保障

 

针对用户应急响应技术支持的需求,永利皇宫组建了专业的应急响应高级技术支持服务团队,并和现场故障处理服务团队、远程互联网站安全监控团队、检查评估团队进行联动,通过电话支持、即时邮件、远程支持和现场支持等方式为用户提供全方位、7×24小时的远程和现场应急响应服务,包括:应急响应体系建设、现场和远程应急响应技术支持、事后分析和安全加固、协助用户组织应急演练等。

申请下载

*姓名
*单位
*电话
*验证码
发送验证码
邮箱
*需求概述

项目咨询

*姓名
*单位
*电话
*验证码
发送验证码
*您感兴趣的产品
项目规格
*需求概述
*所在地
*意向行业
+
XML 地图