发布网友 发布时间:2022-04-25 22:54
共1个回答
热心网友 时间:2022-06-18 10:41
一 、安装ssdeep
下载ssdeep并安装 。
二、识别webshell实例
接下来咱们下载一个webshell,试一试如何使用ssdeep来识别webshell
以b374k.php为例
首先获得webshell b374k.php的ssdeep hash(fuzzy hashing)值,并存储到b37_hashs.txt文件中
ssdeep -b webshell/b374k.php >b37_hashs.txt
cat b37_hashs.txt
ssdeep,1.1--blocksize:hash:hash,filename384:UsaSwsF3RtJhwhxY5janx0Rig5xJx52FRsBU0ipgFHF3xR:44snx0Rig5x752EBUxpc5,"b374k.php"
然后使用这个值来获得相似度,相似度为100(当然啦,因为没有做任何修改)
ssdeep -bm b37_hashs.txt webshell/b374k.php
b374k.php matches b37_hashs.txt:b374k.php (100)
为了方便理解,咱们拿ssdeep与md5做类比
md5 webshell/b374k.php
MD5 (webshell/b374k.php) = b8d3f0f9ad8b1083f24072f8cfe13e04
咱们知道对文件取md5值是用于验证文件的完整性的,因为它对任意的修改都能感受到(hash碰撞小概率事件除外)
而ssdeep则用于计算文件相似度,它是通过计算上下文相关的分段hash值(fuzzy hashing)来判断文件相似度的。
在识别webshell的场景中,咱们可以先获取样本的ssdeep hash值,然后设置相似度范围,来识别同一系列的变形shell
想想一个小白黑客获得一个好用的webshell后,第一件事会干嘛?肯定是改变登录账号密码
cp webshell/b374k.php webshell/b374k.php.bak
vim webshell/b374k.php.bak
心思稍微重点的想绕过WAF的童鞋,说不定还会修改cookie中的关键字
例如批量替换cookie txtauth关键字
修改完毕后,分别用md5与ssdeep来看发生了什么
md5 webshell/b374k.php.bak
MD5 (webshell/b374k.php.bak) = b8d3f0f9ad8b1083f24072f8cfe13e04
md5值发生了变化,说明webshell文本内容发生了变化
接着使用ssdeep来查看修改后的webshell的相似度
ssdeep -bm b37_hashs.txt webshell/*
b374k.php matches b37_hashs.txt:b374k.php (100) #原始webshellb374k.php.bak matches b37_hashs.txt:b374k.php (97)#修改了登录账号与作者标记b374k.php.bak2 matches b37_hashs.txt:b374k.php (88)#修改了登录账号、作者标记、cookie特征
最后,咱们选择一个合适的相似度来判断是否为webshell(真实场景中,调参找到合适的阈值才是考验人的活...)
例如,只筛选相似度90以上的
ssdeep -t 90 -bm b37_hashs.txt webshell/*
b374k.php matches b37_hashs.txt:b374k.php (100)b374k.php.bak matches b37_hashs.txt:b374k.php (97)
三、扩展
除了使用ssdeep来查找相似的恶意软件(静态文本),咱们还可以逆向思维,根据相似度来判断混在正常进程中的恶意进程,依据是进程在运行时由于变量变化而发生的变动是轻微的,而代码被加壳后的的变化是相当显著的,例如UPX加壳会使相似度瞬降到0%。