■本刊記者 趙志遠(yuǎn)

Webshell可以說(shuō)是當(dāng)今最流行的惡意攻擊方式之一，是網(wǎng)絡(luò)安全領(lǐng)域特別是威脅Web服務(wù)器安全的一大頑疾。攻擊者利用Webshell來(lái)控制企業(yè)網(wǎng)站服務(wù)器，會(huì)給企業(yè)帶來(lái)極大安全風(fēng)險(xiǎn)。

WebShell攻擊猖獗，檢測(cè)是難點(diǎn)

根據(jù)近期青藤云安全與中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟、騰訊標(biāo)準(zhǔn)、騰訊安全共同發(fā)布的《2019中國(guó)主機(jī)安全服務(wù)報(bào)告》數(shù)據(jù)顯示，2019年，全國(guó)企業(yè)用戶服務(wù)器病毒木馬感染事件超百萬(wàn)起，其中Webshell惡意程序感染事件占73.27%。

Webshell攻擊不僅對(duì)于客戶來(lái)說(shuō)是個(gè)難題，對(duì)于專業(yè)安全廠商也是不小的挑戰(zhàn)。據(jù)青藤云安全創(chuàng)始人兼CEO張福介紹，在我國(guó)安全行業(yè)發(fā)展20年的歷程中，Webshell由于編碼簡(jiǎn)單、使用便捷、千變?nèi)f化等特點(diǎn)，如何進(jìn)行有效檢測(cè)始終是安全工作人員頭疼的難題。

當(dāng)前針對(duì)Webshell的檢測(cè)方法無(wú)外乎靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)，以及基于機(jī)器學(xué)習(xí)檢測(cè)，但從檢測(cè)效果來(lái)看，都不盡如人意。為了能夠更好地理解Webshell檢測(cè)的核心問(wèn)題，讓我們先來(lái)看看這幾種檢測(cè)方法的問(wèn)題所在：

其中靜態(tài)檢測(cè)方法中，通過(guò)正則方法無(wú)法有效識(shí)別Webshell的變形和混淆；而熵值分析準(zhǔn)確度較差，而且很多業(yè)務(wù)會(huì)使用混淆來(lái)保護(hù)代碼；因?yàn)閃ebshell可以無(wú)限變形，相似度匹配方式檢測(cè)的命中率很低；抽象語(yǔ)法樹(shù)分析對(duì)于變形和混淆識(shí)別較差。

在動(dòng)態(tài)檢測(cè)方法中，沙箱方式能有效解決變形或者混淆問(wèn)題，但是分支執(zhí)行不到，或者惡意數(shù)據(jù)沒(méi)有傳入就無(wú)法檢測(cè)；Web進(jìn)程行為檢測(cè)對(duì)API調(diào)用無(wú)能為力，不調(diào)用System的檢測(cè)不了。

此外，無(wú)論采用機(jī)器學(xué)習(xí)還是深度學(xué)習(xí)，本質(zhì)上還是靠已知樣本去學(xué)習(xí)樣本的特征，對(duì)于未見(jiàn)過(guò)的樣本識(shí)別較差，且解釋性差。

總而言之，傳統(tǒng)對(duì)Webshell的檢測(cè)方法都無(wú)法有效解決問(wèn)題。張福表示，這些方法始終存在天花板，黑客只需要把樣本略做更改，就能夠輕易繞開(kāi)檢測(cè)，傳統(tǒng)方法只能檢測(cè)到一部分的Webshell，但是做不到對(duì)抗，是屬于弱對(duì)抗的檢測(cè)。這是安全行業(yè)的現(xiàn)狀，這種現(xiàn)狀亟需改變。

雷火引擎，另辟蹊徑，抓住WebShell的“命門”

解決問(wèn)題最關(guān)鍵的做法是抓住問(wèn)題的本質(zhì)，在經(jīng)過(guò)青藤云安全專家們的頭腦風(fēng)暴之后認(rèn)為，Webshell之所以難以檢測(cè)，不就是因?yàn)樗膭?dòng)態(tài)混淆能力嗎？如果有一種方法可以裁減掉多余的分支，并將其等價(jià)還原成最簡(jiǎn)化的形式，那么這個(gè)難題也不是不可能攻克的。于是，一種全新的Webshell檢測(cè)產(chǎn)品誕生了。

青藤云安全專門針對(duì)Webshell檢測(cè)研發(fā)出雷火引擎，將靜態(tài)檢測(cè)方法和動(dòng)態(tài)檢測(cè)方法相結(jié)合，既能夠有效解決變形和混淆問(wèn)題，又能夠解決執(zhí)行分支路徑不確定問(wèn)題，最終將Webshell進(jìn)行有效的等價(jià)還原成最簡(jiǎn)化的形式，然后根據(jù)AI推理發(fā)現(xiàn)Webshell中的可疑內(nèi)容。

這里面涉及到三種技術(shù)。首先是做抽象語(yǔ)法樹(shù)解析找到腳本的所有可能執(zhí)行路徑，這一步實(shí)現(xiàn)起來(lái)并不困難。第二步是做AI推理，這是雷火引擎的難點(diǎn)，也是核心價(jià)值所在。AI推理是把所有的代碼可能性全部推演出來(lái)，裁減掉認(rèn)為跟惡意行為無(wú)關(guān)的代碼，化繁為簡(jiǎn)，從多種執(zhí)行路徑中找到最佳執(zhí)行路徑。比如說(shuō)，客戶的代碼可能有5000行，而Webshell可能就只有一行，往往難以被發(fā)現(xiàn)，AI推理能夠把5000行代碼裁減成只有幾行，通過(guò)這幾行代碼做第三步的虛擬運(yùn)算，將腳本模擬真實(shí)環(huán)境中去運(yùn)行，從而得到最終結(jié)果。

不同于傳統(tǒng)Webshell檢測(cè)產(chǎn)品給出模糊性結(jié)果，再由人工去判斷，雷火引擎輸出的是確定性判斷——只有“是”或“否”，而根據(jù)AI推理如同人的判斷邏輯，完全依據(jù)Webshell的定義進(jìn)行判斷，也無(wú)需依賴黑樣本數(shù)量來(lái)提升檢測(cè)精確度。

張福這樣評(píng)價(jià)雷火引擎：“這是歷史性的突破，它使得我們對(duì)Webshell的檢測(cè)能力提升到全新的高度?！碑?dāng)然說(shuō)出這樣的話是有底氣的。張福介紹，去年，青藤云安全首先嘗試做了4次內(nèi)部的對(duì)抗測(cè)試，直到公司內(nèi)部安全專家已經(jīng)沒(méi)有辦法突破雷火引擎的防線。之后青藤云安全又定向邀請(qǐng)業(yè)內(nèi)頂級(jí)白帽子，對(duì)目標(biāo)發(fā)起Webshell攻擊，也少有能逃過(guò)雷火引擎的檢測(cè)。

一場(chǎng)“有勇氣”的公開(kāi)測(cè)評(píng)

實(shí)踐是檢驗(yàn)真理的惟一標(biāo)準(zhǔn)，一項(xiàng)新產(chǎn)品是否具有突破性必須能經(jīng)受住實(shí)踐檢驗(yàn)。雷火引擎在經(jīng)過(guò)內(nèi)測(cè)階段之后，青藤云安全又做出更大膽的舉動(dòng)——聯(lián)合國(guó)內(nèi)22家企業(yè)SRC共同舉辦線上公開(kāi)挑戰(zhàn)賽，并設(shè)置了100萬(wàn)的獎(jiǎng)金池。

從此次舉辦挑戰(zhàn)賽可以看出，青藤云安全不僅僅是產(chǎn)品測(cè)評(píng)這么簡(jiǎn)單，更能突出一種勇氣。一般來(lái)說(shuō)，一項(xiàng)產(chǎn)品的技術(shù)性問(wèn)題交給專業(yè)測(cè)評(píng)機(jī)構(gòu)去做，然后再拿測(cè)評(píng)結(jié)果推向市場(chǎng)，用數(shù)字證明自己的產(chǎn)品有多么優(yōu)秀，而直接將產(chǎn)品拿到市場(chǎng)來(lái)做公開(kāi)測(cè)評(píng)畢竟是有風(fēng)險(xiǎn)的。按青藤云安全自己的話說(shuō)：“安全市場(chǎng)上的各類產(chǎn)品比比皆是，愿意接受公眾測(cè)評(píng)的卻鳳毛麟角”。

用實(shí)際攻防，而非冷冰冰的測(cè)評(píng)數(shù)字對(duì)產(chǎn)品進(jìn)行驗(yàn)證，是青藤云安全帶給安全圈的一大創(chuàng)舉。

另一方面，公開(kāi)測(cè)評(píng)也是不斷完善自身產(chǎn)品的一次絕佳機(jī)會(huì)，通過(guò)與業(yè)界頂級(jí)白帽子合作，能夠很好地找出雷火引擎的不足。

張福表示：“青藤云安全是面向未來(lái)做產(chǎn)品，去解決當(dāng)前安全領(lǐng)域中真正難以解決的問(wèn)題，為推動(dòng)安全產(chǎn)業(yè)的發(fā)展貢獻(xiàn)力量。”