騰訊TAV反病毒引擎是騰訊安全的自研引擎，最初應用在騰訊電腦管家中檢測清除病毒木馬，支援騰訊電腦管家取得過一系列國際評測的優異成績。年齡超過11歲的TAV反病毒引擎始終 堅持與時俱進不斷創新，致力於解決全新的安全課題。今天要講的，就是騰訊TAV引擎對抗新型惡意程式WebShell的故事。

Webshell是什麼？

隨著越來越多的政企機構將其業務和公共服務網際網路化，網路應用日益普及，網民一部手機幾乎可以包打天下了。產業網際網路的快速發展，也給網路黑灰產業創造出新的舞臺，WebShell就是其中之一，傳統安全軟體在WebShell的檢測上會遇到力不從心的問題。

Webshell並不是漏洞，但與漏洞密切相關。從攻擊角度看，可以將WebShell理解成一類攻擊工具或方法，通常會結合伺服器元件、應用的安全漏洞達到其入侵控制目的。

從字面理解，Web指Web伺服器，而Shell是指令碼程式，Webshell可以理解為針對Web服務的管理工具，可以利用WebShell工具獲得Web伺服器的控制管理許可權。雖然可以用來實現某些管理功能，但網站運營人員正常情況下卻不會採用此類方法。所以，日常發現的WebShell基本都是駭客入侵的結果。
 
Webshell功能十分強大，可以上傳下載檔案，檢視資料庫，甚至可以呼叫一些伺服器上系統相關命令（比如建立使用者，修改刪除檔案之類）。攻擊者用於惡意目的，可透過Web頁面的上傳漏洞或上傳許可權控制不當漏洞，將已編寫好的Webshell檔案上傳到伺服器上，再透過頁面訪問已上傳的Webshell檔案便可實現惡意命令執行。

WebShell因其具有隱秘性，基於指令碼、靈活便捷、功能強大、易於編寫、變化多端，便於繞過傳統惡意軟體檢測方法等等特點，已是駭客入侵攻擊的絕佳武器。WebShell有PHP指令碼木馬、ASP指令碼木馬、JSP指令碼木馬等。在日常網路安全檢測時，可以發現大量嘗試上傳WebShell的攻擊活動，證明採用WebShell攻擊，已是駭客群體極為普遍的作法。

傳統Webshell檢測方案

傳統Webshell檢測依靠正則特徵，但由於Webshell是純指令碼檔案，無需編譯，靈活性高，傳統特徵很容易被繞過。特別是PHP的Webshell，藉助PHP靈活的語法來變形、混淆繞過特徵，從而令傳統檢測方法效果欠佳。

TAV Webshell檢測引擎

騰訊安全TAV的Webshell檢測引擎結合傳統特徵、靜態分析、動態行為分析，三管齊下，全方位無死角地檢測各類Webshell。

1.靜態分析
TAV引擎首先會將各種指令碼語言進行詞法語法分析，將其轉換成一種統一的中間表示，再進行後續的分析。TAV的靜態分析引擎支援檢測PHP、JSP等各類主流指令碼的Webshell。

得到中間表示後，TAV引擎會構建控制流圖和資料流圖，並在圖上跟蹤外界變數透過賦值操作、函式呼叫等方式的傳遞。操作外界變數是WebShell非常重要的特徵，如果發現外界變數最終進入了命令執行函式，就可以判斷為Webshell。

依靠靜態分析引擎，我們對開源社群的熱門php專案進行了自動化程式碼審計，發現了數十個風險，人工確認利用後，向CNVD提交了3個漏洞，並獲得漏洞證照。（CNVD-2021-10320，CNVD-2021-08442，CNVD-2021-51345）

2.動態行為分析
與靜態分析不同，動態行為分析關注攻擊行為的發生，TAV引擎在內部實現了一個安全精巧的PHP直譯器，可以將PHP WebShell在安全、穩定的前提下，虛擬執行指令碼，利用動態汙點跟蹤技術，對攻擊行為進行嚴格檢測鑑別。

TAV動態分析引擎的汙點技術，會監控PHP樣本中讀取外界引數的行為，並將所有外界傳入的變數進行標記，對PHP中所有的變數傳遞和賦值的相關邏輯操作進行監控，實現汙點傳播的跟蹤。最後對高危風險函式如eval，system等執行前進行攔截，分析其引數和具體行為，實現惡意WebShell檢測。

除此之外，TAV PHP虛擬執行直譯器針對加密混淆的樣本，可以在動態分析後輸出其真實的執行邏輯，將其真實的執行程式碼和中間表示輸出到特徵分析和汙點分析中，幾大模組相互配合，實現領先業內的WebShell檢出率，攻擊者很難透過加密混淆等手段繞過騰訊TAV 引擎檢測。

TAV WebShell引擎的檢測效果

在雲上真實WebShell黑樣本集中，騰訊TAV引擎的檢測貢獻率能達到99%以上。相比於傳統的特徵檢測方案，TAV WebShell檢測引擎不僅有著超高的檢測率，同時也有超低的誤報率，在雲上真實環境中，也具備較高的獨報能力。

TAV WebShell引擎能力既可以應用於騰訊安全軟體的本地檢測引擎，也可以應用在雲端服務。目前騰訊主機安全（雲鏡）已全面接入TAV WebShell檢測能力，使騰訊雲主機查殺防禦WebShell攻擊的能力得以大幅提升。後續還將陸續接入騰訊安全其他產品，比如騰訊高階威脅檢測系統（御界）、Web應用防火牆、雲防火牆、零信任iOA等等產品，將全面增強在終端側、主機側、流量側的安全能力。

騰訊TAV反病毒引擎

騰訊TAV反病毒引擎匯聚了騰訊安全多年來與惡意軟體對抗的經驗，具備高效能、高檢出、高處理能力、低消耗等技術特點，極大地提升了騰訊安全旗下終端安全產品的防毒能力，護航億級使用者的終端安全。

TAV反病毒引擎的技術能力主要體現在自主打造增強版特徵識別技術、強大的複合類檔案處理能力、專業的脫殼技術、創新的動態模擬檢測技術、多維啟發檢測等五個方面。依託騰訊安全全網海量情報資料，能夠全面覆蓋流行威脅，實現對全平臺（Windows、Android、linux等）的威脅樣本捕獲，第一時間檢測到爆發的惡意軟體和漏洞攻擊樣本。依託大資料分析，自動進行樣本聚類處理和樣本行為判定，完成對海量威脅情報的特徵提取和分析。

依託騰訊安全反病毒實驗室自研的TAV反病毒引擎，騰訊安全產品在各項國內外產品評測取得優異成績，多次獲得滿分，最高評級。VB100累計50次透過，連續三年獲得AV-Comparatives Top Rated 產品，29個A+評級，AV-TEST移動安全評測連續17次滿分，在國內賽可達評測更是連續多次排名第一，安全能力獲得國內外認可。

關於騰訊安全反病毒實驗室

騰訊反病毒實驗室成立於2010年，始終致力於網際網路安全防護、計算機與移動端惡意軟體檢測查殺、網路威脅情報預警等工作。透過“自研引擎能力、安全事件運營、哈勃分析平臺”的“三劍合璧”，對”安全查殺能力、漏洞監測能力及病毒樣本分析“提供了全面、系統、一體化的產品運營式的標準化防護，為騰訊安全實力進一步提供了強大技術支撐，也為網民構建了安全的上網環境。

實驗室擁有專業的反病毒團隊，在自主反病毒引擎TAV研發上深耕多年，擁有多項自主智慧財產權病毒檢測專利。在VB100、 AV-C、AV-TEST等國際安全評測中多次取得滿分成績。

重磅推薦

騰訊主機安全旗艦版釋出會將於2022年1月初召開，更多應用例項和技術解讀，敬請關注騰訊安全威脅情報中心公眾號更新！