冰蝎V4.0攻击来袭，安全狗产品可全面检测

免责声明

郑重声明：本号所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途，否则后果自行承担！

在过去两年的大型攻防演练期间，“冰蝎”让很多防守单位措手不及，也苦不堪言。但随后，针对冰蝎的特点，安全厂商也纷纷做出应对措施，更新自家安全产品。在今年的攻防实战号角正式打响时，冰蝎又出其不意地以“4.0的新面貌”来袭，再次让多家防守单位应对不及。

面对这一威胁，安全狗团队已于2022年7月25日下午更新了“Webshell查杀引擎”的规则库。同时，安全狗的产品也有针对冰蝎4.0的“注入内存马”功能，“内存马查杀引擎”默认支持检测。

本文将介绍冰蝎V4.0的特点及防御建议，希望以此帮助实战期间的防守单位。

一

冰蝎V4.0

1、冰蝎的起源

传统webshell管理工具“菜刀”的攻击流量特征明显，容易被检测设备拦截，攻击方迫切需求具有加密通信功能的webshell。由于流量加密，传统的WAF、IDS设备难以检测。因此，一款动态二进制加密网站管理客户端“冰蝎”应运而生，冰蝎所带来的网页后门攻击、无文件攻击等威胁给传统安全产品带来很大的困扰。

2冰蝎V4.0

“冰蝎”是最为流行WebShell管理工具之一，第一代WebShell管理工具"菜刀"的流量特征比较明显，很容易就被检测。冰蝎的流量是加密的，能够有效规避流量设备的检测；“冰蝎”客户端用Java开发，最新版本为v4.0，管理端跨平台，支持ASP/ASPX/JSP/PHP等多种环境。

图1

在最新的V4.0中支持Java Agent无文件落地注入内存马。

图2

可以说，冰蝎的改版，让去年防守方们针对冰蝎所做的部分措施和方法都付诸东流。

二

针对冰蝎V4.0的防御建议

1、可防御点

(1) 重点防御文件上传、文件写入、文件包含漏洞； (2) 对冰蝎V4.0的内置所有类型Webshell的流量侧进行分析，针对性地检测各个类型webshell； (3) 开启系统异常行为监控，检测反弹Shell、系统高危命令执行等危险行为； (4) 做好安全基线的检查，及时修正安全基线，对可疑文件的可疑行为做好记录预警，方便审计。

2、安全狗云眼可检测冰蝎V4.0

新一代云主机入侵监测及安全管理平台“云眼”的“Webshell查杀”及“内存马检测”等功能支持对冰蝎4.0的攻击进行检测。

此外，当攻击者利用冰蝎工具连接虚拟终端和命令执行时，“进程监控”等功能也可检测。

• 主机Webshell查杀

图3

• 主机内存马检测

图4

3安全狗云甲可检测冰蝎V4.0

自适应容器安全管理系统“云甲”的“镜像Webshell查杀”、“容器Webshell查杀”以及“容器内存马检测”等功能支持对冰蝎4.0的攻击进行检测。

此外，当攻击者利用冰蝎工具连接虚拟终端和命令执行时，“进程监控”与“行为模型”等功能也可检测。

• 镜像Webshell查杀

图5

• 容器Webshell查杀

图6

• 容器内存马检测

图7

参考资料

https://github.com/rebeyond/Behinder