前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Webshell 入侵使用二进制加密流以逃避检测

Webshell 入侵使用二进制加密流以逃避检测

原创
作者头像
Yangsh888
发布2022-03-07 13:38:25
6290
发布2022-03-07 13:38:25
举报
文章被收录于专栏:Yangsh888的专栏

什么是Webshell?

攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。常见攻击方式有:直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本(XSS)作为攻击的一部分,甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。

Webshell分类

Webshell从协议上来看,最开始基于 TCP、UDP 的 Shell,到后来基于ICMP 的 Shell和基于DNS 的shell 。从依托工具上看,有 nc 反弹、telnet 反弹、SSH 端口转发等手段,极度猥琐的甚至还有利用 awk 的反弹 Shell。从语言上看,各种流行的语言都能用来写后门,从bash 到 3P(Perl Python PHP)再到 Ruby 和 Java。

目前,随着企业安全意识的提高,云安全防护产品的普及,仅通过传统 Webshell 木马已经很难达到预期效果。于是当攻击者发起 Webshell 入侵时,逐渐由使用传统 Webshell 木马转向使用动态二进制加密流技术,试图达到逃避检测的目的。

图片
图片

对比传统的菜刀一句话木马以及浏览器可直连的木马,可以发现其内容组成有着明显的变形。

对内容进行还原后,可见该攻击者在木马中引入 AES 加密算法:

图片
图片

随着动态二进制加密技术的普及,需要通过解析攻击 payload 的组成,并针对性的更新防御规则以加强防护。传统防御思路已经失效,为保证防护效果,提高防御精度,并保证实时检测阻断,需要持续升级对抗策略,结合访问行为特征分析,并运用AI模型对流量进行实时监测与分析,最终达到保障业务安全运营的目标。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 什么是Webshell?
  • Webshell分类
相关产品与服务
Web 应用防火墙
腾讯云 Web 应用防火墙(Web Application Firewall,WAF)帮助腾讯云内及云外用户应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等网站及 Web 业务安全防护问题。企业通过部署腾讯云 WAF 服务,将 Web 攻击威胁压力转移到腾讯云 WAF 防护集群节点,分钟级获取腾讯 Web 业务防护能力,为网站及 Web 业务安全运营保驾护航。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档