解决YARA扫描phpseclib时出现的“DangerousPhp”误报

解决YARA扫描phpseclib时出现的“DangerousPhp”误报

本文旨在帮助开发者理解和解决在使用YARA规则扫描PHP应用程序时，可能出现的关于phpseclib库的“DangerousPhp”误报问题。通过分析call_user_func和call_user_func_array在phpseclib中的使用场景，解释为何这些函数调用并不一定代表恶意行为，并提供排查和确认误报的方法，从而避免不必要的恐慌和安全风险。

在使用YARA规则进行恶意代码扫描时，可能会遇到一些误报，尤其是在扫描包含动态函数调用的库时。phpseclib 是一个纯 PHP 实现的 SSH2, SFTP 和其他加密协议库，由于其内部实现机制，可能会触发一些通用的恶意代码检测规则。本文将针对使用 YARA 扫描 phpseclib 时出现的 DangerousPhp 误报进行分析和解决。

理解误报的原因

YARA 规则通常会查找一些高风险的 PHP 函数，如 system()、exec()、call_user_func() 和 call_user_func_array()，因为这些函数可能被用于执行恶意代码。然而，在 phpseclib 中，这些函数被用于实现其核心功能，例如动态调用回调函数和处理不同版本的 PHP 兼容性问题。

• call_user_func(): phpseclib 使用 call_user_func() 来动态调用用户定义的回调函数，例如在 SSH2 连接中处理事件。这允许用户自定义处理服务器响应的方式。
• call_user_func_array(): phpseclib 使用 call_user_func_array() 来处理函数参数数量不确定的情况，例如在 login() 方法中，需要根据不同的认证方式传递不同数量的参数。

由于这些函数在 phpseclib 中的合法使用，YARA 规则可能会错误地将其标记为恶意代码，从而产生误报。

立即学习“PHP免费学习笔记（深入）”；

如何排查和确认误报

1. 检查 YARA 规则: 首先，检查触发误报的 YARA 规则，了解其检测的特征和逻辑。如果规则过于宽泛，可能会导致误报。

2. 分析代码上下文: 仔细分析 phpseclib 中使用 call_user_func() 和 call_user_func_array() 的代码上下文。确定这些函数是否被用于执行恶意操作，或者仅仅是用于实现库的正常功能。

   例如，在 phpseclib/Net/SSH2.php 文件中，call_user_func() 可能出现在处理回调函数的地方：

   if (is_callable($callback)) {
       if (call_user_func($callback, $temp) === true) {
           $this->_close_channel(self::CHANNEL_EXEC);
           return true;
       }
   } else {
       $output.= $temp;
   }

   登录后复制

   这里 $callback 是用户提供的函数，用于处理 SSH2 连接中的数据。只要确保 $callback 来自可信的来源，就可以排除恶意代码的风险。

   类似地，call_user_func_array() 可能出现在处理函数参数的地方：

   

   千图设计室AI海报

   千图网旗下的智能海报在线设计平台

   51

   查看详情

   function login($username)
   {
       $args = func_get_args();
       $this->auth[] = $args;
   
       // ...
   
       return call_user_func_array(array(&$this, '_login'), $args);
   }

   登录后复制

   这里 $args 包含了传递给 _login() 函数的所有参数。只要确保这些参数来自可信的来源，就可以排除恶意代码的风险。

3. 确认 phpseclib 版本: 确认你使用的 phpseclib 版本是最新版本，或者至少是经过安全审计的版本。旧版本的库可能存在安全漏洞，容易被恶意利用。

4. 使用更精确的 YARA 规则: 如果可能，使用更精确的 YARA 规则，避免过于宽泛的匹配。例如，可以添加一些上下文条件，限制只在特定的代码模式下才触发警报。

示例：调整 YARA 规则以减少误报

假设你使用的 YARA 规则包含以下内容：

rule DangerousPhp
{
    meta:
        description = "Detects potentially dangerous PHP functions"
    strings:
        $system = "system("
        $exec = "exec("
        $call_user_func = "call_user_func("
        $call_user_func_array = "call_user_func_array("
    condition:
        any of them
}

这个规则会匹配所有包含 system()、exec()、call_user_func() 和 call_user_func_array() 的代码，很容易产生误报。

为了减少误报，可以添加一些上下文条件，例如：

rule DangerousPhp_phpseclib
{
    meta:
        description = "Detects potentially dangerous PHP functions in phpseclib"
    strings:
        $call_user_func = "call_user_func("
        $call_user_func_array = "call_user_func_array("
        $phpseclib_path = "/phpseclib/"
    condition:
        any of them and $phpseclib_path and not (
            // 排除合法的 call_user_func 使用场景
            ( $call_user_func in (0..100) and $phpseclib_path ) or
            ( $call_user_func_array in (0..100) and $phpseclib_path )
        )
}

这个规则会匹配 phpseclib 中使用 call_user_func() 和 call_user_func_array() 的代码，但会排除一些已知的合法使用场景。

注意事项和总结

• 在使用 YARA 规则进行恶意代码扫描时，要充分理解规则的逻辑，避免过于宽泛的匹配。
• 在分析误报时，要仔细分析代码上下文，确定是否存在真正的安全风险。
• 及时更新 phpseclib 版本，确保使用的是经过安全审计的版本。
• 根据实际情况调整 YARA 规则，减少误报，提高检测效率。

通过以上方法，可以有效地解决 YARA 扫描 phpseclib 时出现的 DangerousPhp 误报问题，确保应用程序的安全性和稳定性。

以上就是解决YARA扫描phpseclib时出现的“DangerousPhp”误报的详细内容，更多请关注php中文网其它相关文章！