Zusätzliche ClamAV-Signaturen zur Erkennung von PHP-Backdoors

Sicherheit Symbol eines Kalenders 2018-03-18 Symbol eines Stiftes 2019-02-03 00:09 Symbol eines Auges 16

Die Erkennungsrate von ClamAV bie PHP-Backdoors kann zusätzlich mit Datenbanken verbessert werden.

Die händisch erstellte Signaturdatenbank enthält Signaturen für folgende Schadprogramme:

  • PHP-Backdoors (Auszüge): Azrail, CasuS, Cybershell, KAdot, Lolipop, lostpassworddc, Spammailer, MyShell, NShell, s72, Ant(Sword), b374k
  • Exploits: Umgehungsversuche des PHP-Safemodes
  • Weitere Backdoors: Gamma Webshell (Perl) sowie eine CGI-Backdoor in Python

Außerdem ist eine einfache Heuristik zur Erkennung von PHP-Backdoors mit dabei, die erkennt ob $_-Variablen ($_GET, $_POST, $_REQUEST) als Argument für eval / system / passthru / exec / popen / proc_open verwendet werden.

Eine zusätzliche Datei für häufig verwendete Verschleierungstaktiken kann ebenfalls heruntegeladen werden. Diese erhöht jedoch möglicherweise die Rate der falsch-positiven Ergebnisse.

Download

Auszug sbiewald-php.ndb

# Heuristik
PHP.Webshell.Generic:0:*:(6576616c|73797374656d|7061737374687275|65786563|706f70656e|70726f635f6f70656e)28245f
...
# Webshells
PHP.Webshell.Azrail:3:*:617a7261696c20312e3020627920632d772d6d3c
...
# PHP Exploits
PHP.Exploit.Safemode:3:*:736166655f6d6f6465*636f70792822636f6d70726573732e7a6c69623a2f2f222e24
...
# Andere
Trojan.Webshell.Gamma:7:*:6d79202476657273696f6e203d202767616d6d6120776562207368656c6c
...

sbiewald-php.ndb; Die verlinkte Datei steht unter 3-Klausel-BSD-Lizenz.

Verschleierungserkennung

sbiewald-obf.ndb; Die verlinkte Datei steht unter 3-Klausel-BSD-Lizenz.

Über den Autor

Simon Biewald

Der Autor des Blog programmiert bereits seit jungen Jahren in Python und beschäftigt sich nun mit den Themen der IT-Sicherheit und studiert deshalb nun "IT-Sicherheit und Mobile System" an der Hochschule Stralsund.