文章目录
[+]
椒图科技天择实验室吴康在XCon上分享了主题演讲《利用脚本虚拟机检测WebShell》,以ASP脚本虚拟机为例,首次向业界分享【云锁】在未知安全威胁检测与查杀领域采取的前辈技能。
吴康剖析了常规的webshell检测方法,并指出常规方法存在误报率高、难以识别变形及加密webshell的弊端。吴康指出云锁V3版在未知威胁检测方面,采取基于脚本虚拟机(沙盒)的无署名Webshell检测技能,不依赖文本特色检测,可以高效率检测出加密、变形、未活动的webshell,目前已经完成asp、php、.net、java等多种脚本虚拟机布局,大幅度提高webshell的检测效率和准确率。
吴康也坦言,云锁技能团队在研发脚本虚拟机的过程中也碰着很多困难和寻衅,不过结合统计学、机器学习分类算法、深度优先算法等其他领域的技能,云锁脚本虚拟机模块的webshell识别率已经达到国际领先水准,云锁即将上线的V3版将引入该项技能,大幅度加强云锁对位置威胁的检测和拦截能力。
(图片来自网络侵删)
除了基本脚本虚拟机(沙箱)外,云锁还采取RASP技能和ASVE技能来检测已知、未知安全威胁。RASP技能对运用系统的流量、高下文、行为进行持续监控,识别及防御已知及未知威胁,能有效防御SQL注入、命令实行、文件上传、任意文件读写、反序列化、Struts2等基于传统署名办法无法有效防护的运用漏洞;云锁独创的虚拟化安全域技能(ASVE),通过将运用进程放入虚拟化安全域内,限定运用进程权限,防止黑客利用运用程序漏洞提权、创建可实行文件等造孽操作;而脚本虚拟机则是对前端两道防御的补充和加固,可有效检测各种加密、变形的Webshell。
本届XCon已经顺利拉下帷幕,但开放、共享的极客精神,会伴随着XCon一起在业界发展、滋长。
