Webshell是一种用于获得服务器执行操作权限的恶意脚本，在攻防演练场景中被广泛使用。它常被称为网马，并根据实现方式的不同可以分为一句话木马(小马)、大马和内存马。攻击者通常通过利用文件上传、命令执行、反序列化等漏洞将Webshell上传或注入目标服务器，并通过Webshell管理工具进行连接。一旦连接成功，攻击者可以使用Webshell管理工具发送指令来对目标服务器进行操作和控制。常见的操作包括获取权限、命令控制和窃取数据等。成功上传和连接WebShell会直接暴露内网给攻击者，并为进一步攻击提供了重要的条件。

    WebShell管理工具种类繁多，相较于菜刀等传统的WebShell管理工具，新型WebShell管理工具具备了更强大的定制功能，以及绕过流量检测和免杀的能力，使攻击者能够更加灵活和有效的进行攻击活动。目前主要使用的新型WebShell管理工具有以下几种：

    WebShell工具会使用各种流量伪装技术，以隐藏其恶意活动和逃避检测。以下是一些常见的流量伪装技术：

    传统的WebShell检测方法主要基于字符串匹配和简单的行为分析，通过对已知的WebShell特征和行为进行识别和比对，来判断是否存在恶意的WebShell。

    然而，现如今面对层出不穷的流量伪装技术，传统检测方法难以有效应对，检测误报率和漏报率居高不下。如何对WebShell实现精准识别具有一定难度，特别是基于加密流量进行通信的WebShell检测更是行业难题。

    为了应对新型WebShell威胁，观成瞰云（ENS）-加密威胁智能检测系统结合以下几种方式实现有效检测：

    观成瞰云（ENS）-加密威胁智能检测系统对WebShell流量的检出结果。

    在攻防演练场景中，了解WebShell的特点和常见的加密威胁对于有效防范和应对攻击至关重要。同时，持续更新和学习新的检测技术和工具，保持对最新威胁的警觉性，是确保网络安全的重要一环。观成科技安全研究团队通过对这类攻防演练场景中常见的WebShell工具保持持续跟踪，研究其加密流量通信的原理与检测方法，可以精准识别各类基于HTTP和TLS协议的多种已知和未知WebShell。