Webshell通用免杀的思考
The following article is from 七夜安全博客 Author 七夜安全
本文经授权转载自“七夜安全博客”公众号
作者:七夜安全
原文链接:WebShell通用免杀的思考
前言
良好的习惯是人生产生复利的有力助手
最近一段时间,看了很多认知方面的书,对我的改变还是很大的。
之前看待事物总是看其一角,做技术也是囿于一面,思维不是很开阔,经过不断地看书,思考,认知慢慢有了 改变,获益良多。
作为技术人员,我的建议是不要总是看技术书籍或者一心研究技术,多看看哲学,认知,效率,商业方面的书籍,可以让你看到人生多种可能性,同时反哺技术上的视野和思考模式。
现在遇到技术项目,尽量不再立即着眼于解决它,而是选择如何看待它,比如会问自己一些问题:
它是否真是一个全新项目 ?
它的存在是否合理 ?
它的边界是什么?
。。。。。。
前面只是一些自己的感悟,如果对大家有启发,有帮助的话,那就最好不过了。言归正传,在上一篇文章中,讲解了webshell如何绕过RASP的方法论,并根据方法论设计了 webshell。
虽然有一些绕过方法,但RASP依然是webshell检测中最强的存在,如果再和HIDS联动,那些绕过方法在数据捕获层面都会失效,纵深防御不是说说而已。
今天说的承接上文,依然是webshell的绕过,不过不叫绕过,叫免杀。对付的不再是RASP(实时检测手段),而是其它离线的检测手段,目的是以攻促防。
这次讲的内容主要是方法论,我给的是思考方法,而不会直接给一个通杀的webshell,因为没有意义。如果你还在追求这种浮躁的方式,只能说还是没脱离“脚本小子”的范畴。
一.思考
检测方案的边界
在绕过任何一个检测引擎之前,思考是很关键的,尤其是新手。新手特别喜欢的干的是 找一大批样本上传,看看能不能命中一个,这其实对你是没有任何提高的。首先要做的是思考,下面我画了一张思维导图,理了理思路。
思考过程分为了四个部分,层层递进,应用在其他方案绕过上,也是可以的,接下来我会根据这四个部分进行解释。
二.认知
知己知彼
最后
感谢青藤团队的邀请,【雷火引擎】公测赛,欢迎大家来对抗。同时,腾讯安全平台洋葱团队开发的WebShell检测引擎下个月也会进行众测,以攻促防,欢迎大家参与。具体详情可关注TSRC和青藤云安全官方微信公众号。
即刻挑战
诸神之战来袭,百万赏金,挑战极限,你会是最耀眼的白帽英雄吗?扫描二维码立即报名!
其它精彩阅读:
诸神之战来袭,看顶级白帽眼中的Webshell大杀器如何接招?
百万赏金等你来拿:青藤联合22家SRC共同举办『雷火引擎』公测活动
解决安全顽疾:“WebShell强对抗检测平台”开启定向邀测......
更多关于ATT&CK:
关于青藤云安全
青藤云安全以服务器安全为核心,采用自适应安全架构,将预测、防御、监控和响应能力融为一体,构建基于主机端的安全态势感知平台,为用户提供持续的安全监控、分析和快速响应能力,帮助用户在公有云、私有云、混合云、物理机、虚拟机等多样化的业务环境下,实现安全的统一策略管理,有效预测风险,精准感知威胁,提升响应效率,全方位保护企业数字资产的安全与业务的高效开展。
QINGTENG CUSTOMERS
他们都在使用青藤
-政府机构-
外交部 | 公安部 | 交通运输部 | 水利部 | 新华通讯社 | 中央广播电视总台 | 国家信访局 | 国家药品监督管理局 | 中国地震局 | 中国日报 | 人民网 | 北京市公安局 | 广东省公安厅 | 青海省卫生健康委员会
-金融行业-
中国农业发展银行 | 中国银行 | 交通银行 | 中国人寿 | 中国平安 | 中国银联 | 招商银行 | 兴业银行 | 中信银行 | 光大银行 | 中信证券 | 国泰君安 | 广发证券 | 安信基金 | 博时基金 | 华融资产 | 泰康资产 | 江苏银行 | 宁波银行
-运营商-
中国移动 | 中国电信 | 中国联通
-大型企业-
国家电网 | 中国一汽 | 中国储备粮管理集团 | 中国化工 | 中国煤炭地质总局 | 上汽集团 | 上海机场 | 科大讯飞 | vivo | OPPO | 吉利控股集团 | 顺丰速递 | 韵达快递 | 中通快递 | 百胜中国 | TCL | 深圳航空 | 九阳股份
-互联网-
京东集团 | BiliBili | 斗鱼 | 医渡云 | 游族 | WiFi万能钥匙 | 新东方 | 团车网 | 途牛网 | 映客 | 猎豹移动 | 陌陌 | 春雨医生 | 好大夫在线 | 天极网 | 智联招聘 | 51Talk
-互联网金融-
陆金所 | 大智慧 | 度小满 | 91金融 | 玖富 | 易宝支付 | 宜信 | 人人贷 | 普惠家 | 有利网