记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

如何检测隐藏的Webshell(三) Weevely.img

2015-12-27 01:10

    这段时间忙于将研究成果转化为实际的东西,想想已半月有余没和大家共享研究成果了,(守望者们都太忙啦)。前几篇文章重点讲了一下国外比较流行的绕IDS Webshell Weevely。主要讲了Weevely的流量特征和后门样本特征,今天讲讲Weevely的另一种模式img模式以及Weevely从流量上如何检测。

  1. Weevely.img模式

    Weevely除了可以实时生成一个完全唯一的PHP Webshell之外其实还有另外一种模式就是将生成的代码插入到一个图片文件中,即img模式,但是最新版的Weevely却取消了这个功能,可能是作者觉得img模式太鸡肋吧,需要.htaccess支持确实是硬伤,而且代码插入图片中会导致图片文件特征太过明显基于文件的检测很容易就能检测出一个异常图片文件从而暴露身份,毕竟我们玩的就是“隐身”。

    我们来看一个正常的图片中使用Weevely.img模式插入Weevely代码的前后对比:

插入代码前:

如何检测隐藏的Webshell(三) Weevely.img - 第1张  | Sec-UN 安全圈

插入代码后:

如何检测隐藏的Webshell(三) Weevely.img - 第2张  | Sec-UN 安全圈

    还是很明显的吧,在插入代码的同时还会生成一个.htaccess文件,目的是让服务器将jpg图片当成PHP代码来执行,内容如下:

如何检测隐藏的Webshell(三) Weevely.img - 第3张  | Sec-UN 安全圈

  1. Weevely.img通信加密

    在成功的制作一个Weevely.img后门之后我们将文件放到一个实验用的环境中,并使用Weevely的客户端连接Webshell。进行了几个命令执行的操作后,打开抓取的网络流量数据,发现payload被加密了:

如何检测隐藏的Webshell(三) Weevely.img - 第4张  | Sec-UN 安全圈

  1. Weevely.img流量检测

    Weevely的通信隐藏在正常流量中,通过大量的流量样本守望者开发的检测系统能够发现Weevely Request Cookie域中的模式特征并配合Response来确定某个流量是否为疑似Weevely,并将疑似Weevely的Cookie域经过去掉第一个参数,去掉干扰符号,重组,最后解密的过程发现具有攻击性的Payload。

上述Payload解密后的内容为:

如何检测隐藏的Webshell(三) Weevely.img - 第5张  | Sec-UN 安全圈

 

欢迎关注守望者实验室!

如何检测隐藏的Webshell(三) Weevely.img - 第6张  | Sec-UN 安全圈

知识来源: www.sec-un.org/how-to-detect-hidden-webshell-c-weevely-img.html

阅读:127029 | 评论:0 | 标签:安全方案 安全技术

想收藏或者和大家分享这篇好文章→复制链接地址

“如何检测隐藏的Webshell(三) Weevely.img”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词