脚本木马查杀原理的简单探讨
本文提供的信息传播和使用造成的任何直接或间接后果和损失,由用户本人负责,叶志安和作者不承担任何责任。
本文主要从防御和技术研究的角度出发,网站又被挂了?为什么我不知道!数据库怎么脱了!什么时候?
脚本语言是什么?可疑样本是什么意思?
我们互联网上的超文本标记语言出现后,就出现了Web服务器设计的脚本语言。现在很常见:可疑样本是什么意思?
php、asp、aspx……
我们可以用一张图片来表示脚本解释器和脚本语言之间的关系:可疑样本是什么意思?
脚本解释器处理后,我们最终得到的结果是leafsec。如果脚本是数学表达式或其他代码,它也将由脚本解释器操作,最终给出结果。这里的脚本解释器相当于一个计算器,你是一个小会计(服务器),老板(用户)问你100 200等于多少,然后组织语言(脚本语言处理的结果,通常是HTML)告诉老板。
我们经常遇到这样的脚本木马:
那么它的运行过程是什么呢?
当脚本解释器遇到需要再次调用脚本解释器的指令时,就会再次调用。一般来说,如果脚本类似eval这种表达式将再次调用脚本解释器来处理表达式传输的参数。
如果我们将参数指向用户的可控范围,损失是不可估量的。这可能会构建任何代码执行的漏洞。
下面分析一下解释器:
为了便于理解,我们将解释器分为两部分:
动态解释器负责从用户输入的内容中读取代码进行解释和操作。
例如PHP用户可控变量:$_COOKIE、$_POST、$_GET……
静态解释器负责从服务器上读取脚本文件进行解释,如果需要调用动态脚本解释器。例如遇到:assert、eval等关键字。
很多产品的脚本木马查杀技术都很相似,基本上是从两个地方查杀。
1.网络请求内容
假设1.php是脚本木马,我们输入的字符将作为脚本执行。如果请求参数值中有一些危险函数或关键字,将被保护产品拦截并检查文件。
在网络这块我们可以采用编码、加密传输指令。这样就不会被防护软件检测到。
直接加密代码:
2.文件内容
上面给出了一个免杀文件的代码,可以看出我们拼接了一个字符串,然后调用了它assert这个函数,传输可控变量,构建后门。
这里的“cGhwaW5mbygpOw==”是“phpinfo();”的base64编码结果。
这样,我们的木马就可以逃避网络请求的内容匹配。
说到文件内容的查杀,一般采用正则表达式,效率高,效果好。但是,当遇到精彩的文件或无法匹配的对象时,查杀软件会将查杀目标视为正常文件。
当目标中有可疑内容或关键字时,将进行报警、隔离等操作。
我们来分析一下查杀软件与免杀的关系:
这里的安全区域是指我们通常正常运行的项目或代码,基本的检查和杀死软件可以检查和杀死,但可执行的代码区域比安全区域大得多,这意味着没有绝对的安全,攻击和防御是相对的。早期的这些产品是不可预测的,不会主动收集攻击行为和可疑样本。
上述情况也衍生出上述情况BypassCode,恶意代码可以在安全区以外和正常区域内运行bypass的。
贴三四个看:
上面0x02情况无非是脚本安全领域安全产品的痛点,无法预测未来情况。
看下面的代码,也能体现出一个痛点:
这是不是很像远程文件读取?
如果不能使用远程文件,我们可以用这种方法来取巧。
好像……将读取的内容作为函数运行?
以及我们以前经常使用的东西include姿势差不多,但是这个方法很厉害。为什么这么说?
目前,大多数检查和杀戮产品或防护产品无法读取解释器的缓冲区(我目前接触的没有一个),这导致文件在读取后被放置在服务器内存中。如果防护产品能做到这一点,那确实是一个亮点,但在制作后,我们也应该考虑服务器资源的成本。
用户可控的范围可以指向函数的空间,并可以传输任何参数。此外,添加几层编码几乎可以绕过N多产品了!
改版玩玩:
让我们看看服务器上的配置:
这个远程地址也可以是网站的内部地址,也可以是绝对路径。但必须允许在配置文件中读取远程文件。
可以看到phpstudy默认配置允许远程文件读取。它的设置对应于我们常用的函数file_get_contents、fopen...
说了这么多,我们可以做一个总结了,目前的脚本可变性太高了,查杀软件无法预测将来的版本,同样的也不能给出解决方案。
"越灵活越不安全",网站被黑了,不能让防护软件的开发商背锅。程序员真的应该背锅。……在这我不是黑程序员哈,其实我也是程序员,我写的代码有时候都可能有疏忽,所以一个好的编码习惯很重要,如果不是代码层面的问题,那么就是运维的锅了,哈哈。运维哥哥看完文章别打我,其实我也是运维。
防护建议:提高开发人员对安全的重视程度,制定编码规范,统一全局防护。
至于安全从业者,如果他们想从这篇文章中学习姿势,我不会总结,因为我国的网络安全法即将实施,我们的沟通技术必须从防御的角度进行沟通是好人。
文末,代表一叶知安团队祝大家端午节快乐!(饿死,去吃饭。
想了解漏洞平台就进去。
2017/05/28写作。找出67063466个原创可疑样本是什么意思设计图片,包括图片、材料、海报、证书背景、源文件等。PSD、PNG、JPG、AI、CDR等格式素材!
毕业证样本网创作《可疑样本是什么意思(简单讨论脚本木马查杀原理)》发布不易,请尊重! 转转请注明出处:https://www.czyyhgd.com/177075.html
