技术公开课回放｜ 动静结合在WebShell检测中的攻防实践

WebShell相比于二进制病毒具备体积小、易变形和无需编译的特点，在高强度攻防对抗中，高级黑客通过将其加密来绕过检测，使得传统检测方案的效果大打折扣。面对“易攻难守”的WebShell攻击，企业该如何提升检出效率，打赢这场不公平的较量？

4月13日，腾讯安全反病毒实验室高级研究员王铮、赵中彬两位专家，以“WebShell攻防实践”为主题，结合腾讯WebShell克星－“TAV引擎”12年来与恶意软件对抗的经验以及与时俱进的技术优势，分享了WebShell攻击的应对之道。以下是完整视频回放。

以下为重点演讲内容实录：

云上视角看WebShell攻击态势

王铮：WebShell本质上是一段恶意脚本，通常由PHP、JSP或者ASP语言编写，具有体积小、功能强大的特点，可插入正常Web应用中。WebShell的特征体现在无论如何变形，最终都会接受外界参数，通过执行外部命令让函数运行起来，如PHP的eval，JSP的exec函数等。

WebShell的危害极大，一旦WebShell成功上传到服务器，就可以执行黑客的任意命令，达到完全控制服务器的目的，进而实施获取用户数据、上传任意文件、勒索挖矿、向其他服务器横向传播病毒等操作。

由于WebShell可以直接以脚本形式运行，体积小、易变形的优势使其可以轻松绕过传统恶意软件的检测方法，WebShell攻击成为了黑客入侵云服务器的绝佳武器。据统计，腾讯云上脚本文件中PHP占70%，JSP占15%，ASP占8%，云上WebShell态势十分严峻。

传统检测技术不足之处

王铮：检测WebShell的传统方法一般有三种。首先是规则特征，其需要投入大量的运营人员去收集样本，添加特征，由于WebShell不像二进制病毒那样结构固定，特征虽可以拦住90%的脚本，但在高强度攻防对抗中，黑客可以通过不断地修改来绕过已有的特征；其次是机器学习，在实际线上环境中机器学习高度依赖大量已标定的样本，但黑客使用的都是从未公开的WebShell，导致了机器学习根本无法检测；最后是情报云查，其将可疑样本人为上传、人为分析标定黑白后用MD5进行查询，但存在检测能力滞后的问题，一旦攻击者把脚本稍作修改，MD5改变以后云查就会失效。总体而言，传统检测方案在攻防对抗中的局限性有三点，即强规则，弱对抗，重运营。

腾讯TAV杀毒引擎的突破与创新

王铮：TAV引擎由腾讯安全联合实验室旗下的反病毒实验室研发，汇聚了十多年恶意软件的对抗经验。目前是腾讯内部的核心杀毒能力，服务于多款C端、B端安全产品。

针对WebShell攻防难题，TAV引擎不仅包含传统检测方法，还研发了静态污点分析、虚拟执行、动态污点分析三种全新的检测手段，多管齐下实现各个维度检测WebShell。

静态污点分析会对各类脚本文件进行词法、语法解析，转换成中间语言后再进行污点分析。TAV引擎支持将PHP、JSP等脚本语言转化为同一种IR，由此便可以利用污点分析逻辑，保证每一种语言的检测能力都是一致的。

赵中彬：在动态分析方面，TAV引擎基于opcode虚拟执行机制，自研了一套PHP的虚拟执行解释器，在安全可控的前提下实现了PHP所有的核心计算功能，使得恶意程序无法对引擎外的环境造成任何影响，同时在性能上实现了毫秒级的检测响应。

动态污点技术会监控PHP样本中读取外界参数的行为，并将所有外界传入的变量进行标记，对PHP中所有的变量传递和赋值的相关逻辑操作进行监控，实现污点传播的跟踪。

在对抗场景中，黑客常常通过加密混淆、函数回调利用、字符串拼接构造、以及类的魔术方法等来绕过检测。TAV引擎在虚拟执行过程中通过动态污点分析判断是否有恶意行为，如若没有检测出恶意行为，就会把等价还原之后的代码片段再输出特征和静态分析，实现动静结合，提高TAV引擎在WebShell检测领域的检出率，降低误报率。

腾讯安全WebShell能力体系

赵中彬：腾讯安全具有极为庞大的全球文件样本库、IP信誉库、DNS信息库、域名信息库等。基于上述支持，腾讯安全得以感知最新的Web特性和方法，不断地完善和提高WebShell检测能力，实现全覆盖、全检测，识别率高达99%。同时，腾讯安全也通过与科恩实验室等团队保持高频的攻防演练，不停地从攻防视角来完善现有的检测和防御方案。

（腾讯安全WebShell能力体系)

以上是本次《WebShell攻防实践》技术公开课两位专家观点的精华整理。目前，腾讯主机安全（云镜）已全面接入TAV WebShell检测能力，使腾讯云主机查杀防御WebShell攻击的能力得以大幅提升。未来，腾讯TAV反病毒引擎还将陆续接入腾讯御界、Web应用防火墙、云防火墙、零信任iOA等腾讯安全其他产品，全面增强终端侧、主机侧、流量侧的安全能力，更好地护航亿级用户的终端安全。

明晚19点，腾讯安全科恩实验室高级研究员leonxlfang将以“SCA技术的落地实践”为主题，结合腾讯安全科恩实验室在二进制SCA领域的成果－“BinaryAI ”的实践经验，介绍SCA的算法思路、数据存储与流转、服务结构，从一个开发者角度阐述企业级SCA能力是如何构建的。

感兴趣的朋友可以直接点击下方按钮进行预约。