斗象PRS-NTA&大圣云沙箱全面支持检测冰蝎3.0 Beta7

故事背景

最近红蓝军演练时期,各路神仙大表哥各显神通,各种操作让人眼花缭乱。其中,加密流量尤其受红队喜爱,尤其是“冰蝎3.0”。目前市面上大部分解决方案是基于流量进行检测,
加密流量只需要做微小的改动,检测方式就会失效 ,往往等内网沦陷,才做出一些被动的响应。面对0day及其他未知威胁,防守方真的只能坐以待毙吗?

冰蝎3.0的前世今生

"冰蝎"是一个动态二进制加密网站管理客户端。在实战中,第一代webshell管理工具"菜刀"的流量特征非常明显,很容易就被安全设备检测到。基于流量加密的webshell变得越来越多,"冰蝎"在此应运而生。最新版的冰蝎Shell管理工具在
整个交互过程都采用加密传输 ,相比于2.0的版本,冰蝎3.0 去除了协商密钥的过程新增内存马注入
、界面由swt改为javafx,杀伤力进一步扩大且不易清除。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

4月8日更新的冰蝎3.0Beta7版本介绍

斗象科技能力中心团队已在第一时间对冰蝎Behinder_v3.0 Beta 7进行流量分析、特征检测。目前,斗象智能安全PRS-
NTA产品或大圣云沙箱均可准确识别冰蝎v3.0 Beta 7及其变形的webshell。

分析过程

最新版本的冰蝎已不再使用使用密钥协商机制,而是使用内置的密钥进行加密传输,URI中也不再通过URI参数传输会话秘钥。总结冰蝎在流量交互中的特征,主要可分为两类:

  • 可绕过特征,这类特征攻击者可通过构造报文进行绕过,致使设备检测不到冰蝎 webshell 特征。

  • 非可绕过特征,攻击者在某些情景无法更改 HTTP 某些字段,致使有固定报文字段可供设备检测。

可绕过特征

1.Accept字段

冰蝎中使用的Accept字段与常规浏览器使用的不同,且每次请求使用的Accept内容都相同。但攻击者可修改请求头来绕过,不能作为关键的检测字段。外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

2.UserAgent字段

冰蝎中内置了25条User-Agent,每次连接 shell 会随机选择一个进行使用。如果发现历史流量中同一个源IP访问某个URL时,命中了以下列表中多个
UserAgent
,可基本确认为冰蝎特征。但攻击者可修改请求头来绕过。外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

3.长连接

冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。默认情况下,请求头和响应头里会带有 Connection。Connection: Keep-
Alive

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

02 不可绕过特征

1. URI中包括可执行脚本文件

Webshell常见的脚本文件后缀为.php/.aps./.jsp/.jspx/.aspx/等

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

2. 较长的base64编码的请求包

在加密通讯时,php/jsp shell 会提交base64编码后的请求数据,可以用正则进行base64的长度匹配

3.硬编码的Cache-Control及Referer

冰蝎中内置请求头Cache-Control,且Referer紧随其后,可以通过匹配Cache-Control: max-
age=0,并在其后关联Referer字段,以降低误报外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

4.请求头不包含Accept-Encoding字段

通过分析,冰蝎的所有请求包中未包含Accept-Encoding字段,可以通过正则排除该字段。

总结规则

使用单个特征误报较高,但多个特征配合使用可降低误报,PRS搭配使用多个特征,进一步提升特征检测的准确性。目前支持的检测内容如下:外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

大圣云沙箱:即时可用

对于尚未安装PRS-NTA产品或意图提升对冰蝎3.0检测精准度的甲方,可使用斗象科技提供大圣云沙箱服务。云沙箱
集成了独立webshell检测引擎,采用机器学习与高级统计分析算法 ,能够 准确识别冰蝎v3.0 Beta 7及其变形的webshell
,对抗有效高度混淆的webshell、自定义webshell等。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

的webshell**
,对抗有效高度混淆的webshell、自定义webshell等。

[外链图片转存中…(img-bfnv3nsP-1694496415613)]

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值