如何使用ssdeep检测webshell

最新版本的ModSecurity增加了ssdeep检测webshell的接口，于是猛地回忆起搞客户端安全(游戏安全)的时候买过一本书《恶意软件分析
诀窍与工具箱-对抗“流氓”软件的技术与利器》，这本书就提到了使用ssdeep来
查找恶意软件(webshell是恶意软件的一种，安全领域是互通的嘛)，本文介绍如何使用它来检测webshell。498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="如何使用ssdeep检测webshell" src="http://s7.51cto.com/wyfs02/M02/57/07/wKiom1SPmhqgS61aAADWfTbXQ2w463.jpg" width="556" height="276" />一 、安装ssdeep下载ssdeep并安装 http://ssdeep.sourceforge.net/tar zxvf ssdeep-2.12.tar.gzcd ssdeep-2.12./configuremakemake install二、识别webshell实例接下来我们下载一个webshell，试一试如何使用ssdeep来识别webshell以b374k.php为例
首先获得webshell b374k.php的ssdeep hash(fuzzy hashing)值，并存储到b37_hashs.txt文件中ssdeep -b webshell/b374k.php >b37_hashs.txtcat b37_hashs.txtssdeep,1.1--blocksize:hash:hash,filename384:UsaSwsF3RtJhwhxY5janx0Rig5xJx52FRsBU0ipgFHF3xR:44snx0Rig5x752EBUxpc5,"b374k.php"然后使用这个值来获得相似度，相似度为100(当然啦，因为没有做任何修改)ssdeep -bm b37_hashs.txt webshell/b374k.phpb374k.php matches b37_hashs.txt:b374k.php (100)为了方便理解，我们拿ssdeep与md5做类比md5 webshell/b374k.phpMD5 (webshell/b374k.php) = b8d3f0f9ad8b1083f24072f8cfe13e04我们知道对文件取md5值是用于验证文件的完整性的，因为它对任意的修改都能感受到(hash碰撞小概率事件除外)而ssdeep则用于计算文件相似度，它是通过计算上下文相关的分段hash值(fuzzy hashing)来判断文件相似度的。在识别webshell的场景中，我们可以先
获取样本的ssdeep hash值，然后设置相似度范围，来识别同一系列的变形shell想想一个小白黑客获得一个好用的webshell后，第一件事会干嘛?
肯定是改变登录账号密码cp webshell/b374k.php webshell/b374k.php.bakvim webshell/b374k.php.bak498)this.width=498;' onmousewheel = 'javascript:return big(this)' alt="ssdeep检测webshell - 碳基体 - 碳基体" src="http://s1.51cto.com/wyfs02/M00/57/04/wKioL1SPmtihgldEAAAZHgizWjc141.jpg" width="273" height="87" />想雁过留痕的，
估计还会改webshell的title等文本来标记到此一游498)this.width=498;' onmousewheel = 'javascript:return big(this)' alt="ssdeep检测webshell - 碳基体 - 碳基体" src="http://s6.51cto.com/wyfs02/M01/57/04/wKioL1SPmtjinDR0AAAT-qmT1Rc118.jpg" width="365" height="51" />498)this.width=498;' onmousewheel = 'javascript:return big(this)' alt="ssdeep检测webshell - 碳基体 - 碳基体" src="http://s3.51cto.com/wyfs02/M00/57/07/wKiom1SPmjrjIX5SAAAv-YLvcOo084.jpg" width="750" height="85" />心思稍微
重点的想绕过WAF的童鞋，说不定还会修改cookie中的关键字
例如批量替换cookie txtauth关键字498)this.width=498;' onmousewheel = 'javascript:return big(this)' alt="ssdeep检测webshell - 碳基体 - 碳基体" src="http://s9.51cto.com/wyfs02/M01/57/07/wKiom1SPmjrymnIIAADQ3JdW0TQ323.jpg" width="750" height="476" />修改完毕后，分别用md5与ssdeep
来看发生了什么md5 webshell/b374k.php.bakMD5 (webshell/b374k.php.bak) = b8d3f0f9ad8b1083f24072f8cfe13e04md5值发生了变化，说明webshell文本内容发生了变化接着使用ssdeep来查看修改后的webshell的相似度ssdeep -bm b37_hashs.txt webshell/*b374k.php matches b37_hashs.txt:b374k.php (100) #原始webshellb374k.php.bak matches b37_hashs.txt:b374k.php (97)#修改了登录账号与作者标记b374k.php.bak2 matches b37_hashs.txt:b374k.php (88)#修改了登录账号、作者标记、cookie特征最后，我们选择一个
合适的相似度来判断是否为webshell(真实场景中，调参找到合适的阈值才是考验人的活...)例如，只筛选相似度90以上的ssdeep -t 90 -bm b37_hashs.txt webshell/*b374k.php matches b37_hashs.txt:b374k.php (100)b374k.php.bak matches b37_hashs.txt:b374k.php (97)三、扩展除了使用ssdeep来查找相似的恶意软件(静态文本)，我们还可以逆向思维，根据相似度来判断混在正常进程中的恶意进程，依据是进程在运行时由于变量变化而发生的变动是轻微的，而代码被加壳后的的变化是相当显著的，例如UPX加壳会使相似度瞬降到0%参考：http://blog.spiderlabs.com/2014/11/modsecurity-advanced-topic-of-the-week-detecting-malware-with-fuzzy-hashing.html《恶意软件分析诀窍与工具箱-对抗“流氓”软件的技术与利器》原文地址：http://danqingdani.blog.163.com/blog/static/1860941952014111291954550/【编辑推荐】 浅谈变形PHP webshell检测【责任编辑：蓝雨泪 TEL：（010）68476606】 原文：如何使用ssdeep检测webshell 返回网络安全首页