主机安全技术剖析-手把手教会你防御Java内存马

目前的内存马防御主要有如下思路：

为了落地这两种方案，一种思路如c0ny1师傅的java-memshell-scanner。是编写了一个jsp，审计人员将该jsp添加到web目录访问网页后即可看到所有的servlet/filter/listener进行排查，然而由于jsp技术逐渐被抛弃，其适用场景也越来越有限。事实上，我们还可以使用java为我们提供的java agent技术接口来实现。

在一般情况下通过-javaagent:xxx.jar=name=lisi&age=30其中xxx.jar指定对应要加载的agent jar包的名字和路径，后面跟踪自己传入的参数即可。

复现一下rebeyond大师傅的示例

• 正常运行的java应用：

•  利用Agent技术进行注入：

这里我们主要用到：

那么我们可以如下编写一个AngentEntry，并实现agentmain方法：

简单解释一下：

先用Instrumentation.addTransformer()来加载一个我们写好的转换器。

然后在再通过inst遍历所有已经加载的class，然后如果匹配到类名为"priv.eki.normal.Bird"(这里要区分类名和类路径)则通过inst.retransformClasses(c);进行类的字节码转换。

我们编写的Transformer如下：

可以看到实际上是实现了ClassFileTransformer这一接口getBytesFromFile是方便我们从准备好的class文件读取字节流所实现的一个函数。

这里我们通过直接javac编译的方式生成Bird的字节码，当然也可以通过javassist直接动态修改字节码。

修改Bird.java为：

然后编译生成对应的Brid.class。

Agentjar和普通jar的区别

因此我们要修改一下Manifest。

可以直接写Mainfest：

Manifest-Version: 1.0 Agent-Class: priv.eki.agent.AgentEntry Can-Retransform-Classes: true

也可以通过maven-assembly-plugin在pom.xml里写：

此后直接运行mvn assembly:assembly即可打包agent。

然后就是我们之前提到的如何在应用启动后使用agent注入字节码，这里通过jdk提供的tool工具包来获取VirtualMachine，通过attach给已经启动的java虚拟机注入我们的agent.jar。

如下是一个示例：

在这个实例中，我们是通过遍历virtualMaine.list()，根据其systemProperties中的commond属性来判断是否是我们想要注入的jvm，在内存马实战中，可以通过匹配常见的中间件启动命令来找到对应的jvm。

效果如下：

可以看到我们成功注入到了Example.jar中并替换了Bird类。

那么类似的，可以去替换一些addFilter，addServlet的方法，来阻止攻击者借用这些类方法进行注入。

DumpClass就是利用java agent技术提供的ClassFileTransformer transform 方法去拿到对应类的字节码，直接写入文件或是利用其他反编译工具进行反编译获得代码逻辑，然后逐一进行排查。

一个简单的dumpclassTransformer如下：

同上面agent里遍历getAllLoadedClasses的返回值，找到对应的类dump即可。

为了提高dumpclass的效率，我们需要根据内存马的特征来选择需要导出的风险类字节码。一般来说，内存马会有如下特征：

1. SuperClass/Implement

基于继承的父类或是实现的接口来判断内存马看起来很鸡肋但实际上还是很有帮助的，因为内存马毕竟最后还是要依赖框架的功能来实现的，必然会继承或实现框架的接口，在应用自身提供的接口不多的情况下，通过遍历所有的servlet/filter/listener进行审计也是一种检测的策略，不过对应像spring controller动态注册中可以绑定任意类的任意方法来说，这种方法就失效了。

在LandGrey师傅的查杀内存马的copagent项目中，给出了一些容易利用注入的类 ：

当然针对不同的框架或中间件还可以添加一些规则，比如：

等等.....

2. Class File/Location/Loader

内存马的特性就是无文件落地，只存在内存中，这就代表了这个类对应的Resource是不在本地文件系统中的，那么其Class File/Location/Loader相较于应用正常的组件会有一定的区别。

比如注入的Servlet的classloader：

Class.getClass().getClassLoader().getClass().getName()

注入的Controller的FileLocation：

Class.getProtectionDomain().getCodeSource().getLocation()

在之前的攻击部分我们介绍了一些利用提供的接口动态添加恶意组件的方法，那么很容易想到通过给这些接口加“防御补丁”来阻止攻击者添加恶意组件的防御思路，这其实也就是rasp的思想，利用java agent的技术，我们可以对相关脆弱类进行hook，并拦截恶意的内存马注册请求。这里简单介绍一下openrasp的hook思路。

openrasp的hook规则集是通过HookAnnotation标注的，通过AnntationScanner能找到指定包路径下所有带HookAnnotation标注的类，同时一个hook规则需要继承AbstractClassHook这个抽象类，一个hook类对应着对一个类的所有hook规则，子类需要实现hookMethod方法，以SocketHook为例。

AbstractClassHook的getInvokeStaticSrc会通过javassist来创建对应方法的字节码，insertBefore会将生成的字节码插入到对应hook类方法的开始部分。

初始化CustomClassTransformer时：

会调用addAnnotationHook，将所有钩子添加到类的hook属性中：

之后调用retransform方法，isClassMatched通过是否在hook列表中判断类是否需要hook：

之后instrument api的retransformClasses方法会调用Transformer的transform方法，此时拿之前hook类生成好的字节码替换就完成了hook的整个流程。

之前在讨论防御时简单介绍了java agent技术，从攻击者角度来看，既然防守方能通过agent替换脆弱类代码进行防御，那么攻击方也可以通过替换关键类代码进行攻击。

这里编写一个简单的Servlet容器来模拟agent型内存马的注入。

一个Servlet：

和一个Filter：

web.xml配置如下：

打包成war后使用apache tomcat启动。

同之前类似的我们还是写一个agent.jar然后通过virutalmachine attach 注入我们的代码。

如果说之前在代码注入篇我们是通过注入一个新的web服务或是线程来实现webshell，那么可以看出agent注入就是通过替换服务端上现有类的方法来注入我们的webshell逻辑。那么替换什么类的方法呢。最好是能够实现一种效果，访问web服务器上的任意一个url，只要我们的请求传递给tomcat/weblogic，tomcat等中间件就能响应我们的指令。这个类要尽可能在http请求调用栈的上方，又不能与具体的URL有耦合，而且还能接受客户端request中的数据。

在tomcat中常用的方法是：

在weblogic中常用的的方法是：

比较通用的当然还是：

以tomcat为例，注入org.apache.catalina.core.ApplicationFilterChain 的dofilter方法：

我们要在dofilter方法内注入的内存马代码如下，其中$1,$2是javassist传递给目标方法的参数的指代，这里两个参数正好对应着http的request和response。

把它放到resources/source.txt然后通过javassist编译并注入字节码，这里使用insertBefore()，注入到原代码之前并保留原代码，防止原有代码逻辑被破坏而无法运行。

执行Attach后，效果如下：

访问网页输入对应密码即可RCE：

参考资料