HW攻防演练实战:深度剖析Webshell与内存马的流量指纹与自动化查杀
1. 从零认识Webshell与内存马
第一次接触"Webshell"这个词时,我还以为是什么新型的贝壳类生物。后来才知道,这其实是黑客最常用的"后门工具"之一。简单来说,Webshell就是一段能通过网页形式执行的恶意代码,它能让攻击者像操作自家电脑一样控制你的服务器。
想象一下这样的场景:你经营着一家超市(服务器),突然有个陌生人(攻击者)偷偷配了把钥匙(Webshell)。从此他随时可以溜进来,想拿什么就拿什么,甚至还能在货架上偷偷放些违禁品。更可怕的是,这类攻击往往发生在深夜(非工作时间),等第二天发现时损失已经无法挽回。
而内存马则是Webshell的"升级版",它就像个隐形人,不留下任何实体文件。传统查杀工具扫描磁盘时根本找不到它,因为它只存在于服务器的内存中。但它的破坏力一点不小——照样能执行命令、窃取数据,而且重启服务器就会消失的特性,反而让很多管理员放松了警惕。
在HW攻防演练中,这两类攻击手段几乎占到了红队攻击的60%以上。我去年参与某次演练时,就遇到过攻击者先用普通Webshell站稳脚跟,再植入内存马保持持久控制的典型案例。当时要不是偶然发现异常流量,差点就让对方蒙混过关了。
2. 三大工具的流量特征解剖
2.1 蚁剑:穿着休闲装的入侵者
蚁剑的流量就像穿着T恤牛仔裤的黑客——相当随意。它最大的特点是部分代码会明文传输,比如常见的@ini_set("display_errors","0")这类PHP函数调用。我在流量分析中曾多次看到这样的特征包:
POST /admin.php HTTP/1.1 Host: victim.com Content-Type: application/x-www-form-urlencoded a=@ini_set("display_errors","0");@set_time_limit(0);...这种明码传输就像在信封上直接写"这是偷东西的计划书",用WAF(Web应用防火墙)很容易识别。但高级攻击者会开启加密插件,这时候就要看其他特征了:
- 固定User-Agent:早期版本使用
AntSword/vX.X的标识 - 请求体中的特殊参数名:如
_0xadfd这类十六进制字符串 - 响应包中的固定错误码:加密失败时会返回特定JSON结构
去年某次应急响应中,我们就靠这些特征在300多台服务器中定位到了被控主机。当时攻击者虽然改了加密密钥,但忘记修改默认的Content-Type,最终露出了马脚。
2.2 哥斯拉:伪装大师的破绽
哥斯拉就像穿着定制西装的间谍,默认配置下很难识别。但它有几个致命特征:
Cookie中的分号陷阱
最典型的强特征是Cookie末尾多余的分号,比如:
Cookie: PHPSESSID=asdfghjkl; remember=1;注意最后那个孤零零的分号——这是哥斯拉的"签名"。我在流量分析脚本里专门加了这个检测规则,准确率高达90%以上。
加密数据的指纹
哥斯拉的AES加密数据有个特点:长度永远是16的倍数。比如观察以下请求体:
9C9B9A8F7E6D5C4B+[加密数据]+A1B2C3D4E5F6前后各16位MD5值拼接的结构非常明显。有次演练中,我们就是靠这个特征在SSL加密流量中识别出了恶意请求。
2.3 冰蝎:变装高手的习惯动作
冰蝎3.x版本有个很有趣的特征——它会随机切换User-Agent。听起来很智能?但问题在于它的UA库只有10个固定选项。当你在日志里看到同一个IP在短时间内用不同UA访问相同URL时,就像看到一个人不断换帽子进出银行,想不怀疑都难。
另一个显著特征是端口递增规律。冰蝎每次新建连接时,本地端口会从49700开始逐个+1。有次分析防火墙日志时,我就发现这样的序列:
49700 -> 49701 -> 49702 -> ...连起来看简直就是条攻击时间线。配合它默认使用的长连接特性(Connection: keep-alive),在流量中相当显眼。
3. 内存马的驻留与检测
3.1 内存马如何"住"进你的服务器
内存马的工作原理,就像给咖啡店的点单系统偷偷加了个后门。正常流程是:顾客(用户)下单(请求)→ 店员(Filter)检查 → 咖啡师(Servlet)制作 → 出餐(响应)。而攻击者会在店员或咖啡师环节插入自己的"同伙"。
常见的内存马类型有:
- Filter型:在请求过滤环节做手脚
- Servlet型:伪装成正常服务组件
- Listener型:监听特定事件触发
去年处理过一个典型案例:攻击者利用Log4j漏洞注入Filter型内存马。我们在日志中发现大量404请求却返回200状态码,比如:
GET /static/../admin.jsp?cmd=whoami 404 -> 200这些请求路径根本不存在,却都能执行成功——典型的"幽灵文件"特征。
3.2 自动化查杀实战
Java内存马排查
推荐使用java-memshell-scanner工具,操作步骤:
wget https://github.com/c0ny1/java-memshell-scanner/releases/download/v1.0/java-memshell-scanner.jar java -jar java-memshell-scanner.jar -p <PID>它会列出所有可疑的Filter/Servlet,记得重点检查以下特征:
- 类名包含
shell、cmd等关键字 - 没有对应的class文件
- 动态注册的组件
PHP内存马处理
最简单的方法是重启服务,但生产环境往往不能随便重启。这时候可以用河马查杀工具:
./hmj scan /var/www/html有个小技巧:连续运行三次以上。有次检测时第一次没报错,第三次才抓到内存中的可疑变量。
4. 构建防御体系的建议
防守方最常犯的错误是过度依赖WAF规则。有次我看到某企业配置了200多条Webshell规则,却忽略了最基本的日志监控。其实更有效的做法是:
- 基线监控:记录正常流量的平均请求大小、频率等指标
- 异常检测:关注这些信号:
- 同一会话中UA突然变化
- 响应时间异常(内存马需要额外处理)
- 404请求返回200状态码
- 进程监控:检查Java应用的JVM加载类列表
某次攻防演练中,我们就靠Tomcat的/manager/text/list接口发现了异常加载的Servlet。虽然攻击者用了随机类名,但创建时间戳暴露了问题——所有正常类都是上午部署的,而这个类是凌晨3点添加的。
最后提醒大家:查杀工具不是万能的。有次遇到攻击者重写了java.lang.ClassLoader,导致所有扫描工具失效。最后还是通过对比JDK原始文件才发现的。安全防护就像猫鼠游戏,永远要保持技术更新。