解决网站后门顽疾——雷火引擎开启公测

作为网站管理的一个有力工具，Webshell应用广泛。但Webshell也带来了网站后门的安全隐患，由于其可以嵌套在正常网页中，很难被防御系统发现，Webshell已成为了网络攻击者常用的利器，成为网络安全的一大顽疾。数据显示，2019 年，全国企业用户服务器病毒木马感染事件超百万起，其中Webshell恶意程序感染事件就占到73.27%。

近日，青藤云安全发布了被称为“Webshell大杀器”的雷火引擎，据青藤云安全CEO张福介绍，这是一款可以检测出99.99%WebShell恶意程序的检测平台，将Webshell恶意程序检测引领到一个新的发展阶段。

实现网站后门检测“质”的跨越

对于当前Webshell网站后门的普遍性，张福分享了一组国外的统计数据：传统的杀毒软件和安全工具，检测出的Webshell只有20%左右；假如检测出自己的企业资产里有一个Webshell的话，则意味着至少还有5个没有检测出来；如果系统里发现一个恶意软件，那么少则有11个Webshell，最多则有30个Webshell没有被发现。Webshell无疑是当前黑客最常用的手段之一，但市场上并没有一个有效的产品可以来应对Webshell的威胁。

Webshell网站后门很难被检测，有其固有原因。张福认为，首先网站文件数量巨大，依据网站规模从几万到几十亿个不等，如何将隐藏其中的后门文件从这些海量文件里面找出来是一个极大的挑战。其次，Webshell后门写法多种多样，非常灵活，过去的检测技术各有其短板，如无法有效识别webshell的变形和混淆、分支执行不到、对API调用无能为力、对未见过的样本识别较差等，没有一个技术可以做到全面检测，这是长期以来安全行业的一个痛点。

作为⻘藤⾃研发的Webshell 检测引擎，雷⽕引擎使用了全新的思路，不依赖正则匹配，而是将静态检测方法和动态检测方法相结合，通过代码推导与计算，将Webshell复杂、混淆的变形，等价回归为最简的形式，实现对Webshell代码内容中恶意函数和调参数的精确检测，发现Webshell中存在的可疑内容。

这里共用到了三个核心技术，张福一一做了详细介绍。首先是抽象语法树解析，将脚本文件以树状的形式表现编程语言的语法结构,借助抽象语法树找到脚本的所有可能执行路径。其次，通过AI推理，借助数据标记、代码推理等多种先进的技术手段，在脚本执行过程中，从多种执行路径中找到最佳执行路径。最后是虚拟执行，将脚本模拟到真实环境中去运行得到结果，并在此过程中融入AI推理，从脚本中找到最佳执行路径，将其有效等价还原。

例如一个论坛的代码，攻击者只是将最后一句做了一些略微的更改，特征码、沙箱等传统检测方法对此都无能为力，但雷火引擎就可以准确检测到这个分支路径，从而发现隐藏的后门。

张福表示，雷火引擎的目的就是要解决Webshell的安全问题，让企业不再为Webshell所困扰。根据已经完成的测试情况来看，雷火引擎的检测精度非常好，准确率和误报率这两个核心指标都远超当前市场上的产品指标，是一个质的跨越。同时雷火引擎在工程化落地上非常便捷，用户可以很容易地使用雷火引擎来加强自身核心的检测能力。

首开行业先河，进行产品公测

如何证明雷火引擎近乎于百分百的检测率？对这个问题，张福表示，自去年雷火引擎研发成功以来，首先在公司内部进行了多次对抗测试，当公司内部的技术高手已经无法突破引擎的防线时，开始邀请业界众多顶尖的白帽子和知名攻防团队来做定向测试，“很难绕过的检测”是这些白帽子们的结论。

为了证明雷火引擎的有效性，青藤云安全采取了最直接和公开的办法，用张福的话说就是“安全市场上的各类产品比比皆是，愿意接受公众测评的却凤毛麟角”，一款好的产品应该能够经受住市场的考验。为此，青藤云安全设立了百万奖金池，举行名为“雷火齐鸣 最燃公测”公测暨挑战赛，邀请业界高手共同来对雷火引擎进行测试。

据介绍，比赛共联合了25家大型互联公司的SRC，邀请了全国重要行业、科研机构、高等院校、关键基础设施单位、重保单位、信息安全企业、互联网企业等全行业的高手共同参与。

比赛形式为参赛选手们在比赛网站上提交Webshell的样本，是否能够通过青藤云安全的雷火引擎检测。在北理工、深交所、平安、微众银行、腾讯等22个专家裁判团的审核下，成功绕过检测1次获得相应的积分和奖金，最终按照积分排名评选获得金奖、银奖、铜奖、最佳Webshell姿势奖等。

活动共分为四个阶段，第一阶段4月20日-5月10日是报名阶段，5月11日-5月30日是为期三周的众测活动，随后会进行结果公示，最后会举办线上的闭幕沙龙，对本次活动进行总结，以及对Webshell检测技术进行深入的研讨。

张福强调，虽然在比赛中引擎有可能会被绕过，但是一方面雷火引擎会根据各方面的反馈，持续进行优化，变得更加完善、更为强大；另一方面是要通过这次公测树立一个榜样，摈弃厂商自说自话的宣传方式，而让市场来检验产品，让业界看到Webshell检测领域尖端的技术可以做到什么水平。

不仅是对雷火引擎的检测，张福认为，比赛还旨在树立安全行业新风，打破业内安全产品不愿意接受公测的现状。同时，这是一次集合行业智慧，解决WebShell的顽疾，树立WebShell检测新高度，为互联网安全赋能的大型行动。最后，比赛还给白帽子提供了一个展示技能的舞台，为培养和选拔安全人才提供渠道。最终目的还是希望安全行业坚持以核心技术为导向，提升整个行业的安全能力。