故事背景
最近红蓝军演练时期,各路神仙大表哥各显神通,各种操作让人眼花缭乱。其中,加密流量尤其受红队喜爱,尤其是“冰蝎3.0”。目前市面上大部分解决方案是基于流量进行检测,
加密流量只需要做微小的改动,检测方式就会失效 ,往往等内网沦陷,才做出一些被动的响应。面对0day及其他未知威胁,防守方真的只能坐以待毙吗?
冰蝎3.0的前世今生
"冰蝎"是一个动态二进制加密网站管理客户端。在实战中,第一代webshell管理工具"菜刀"的流量特征非常明显,很容易就被安全设备检测到。基于流量加密的webshell变得越来越多,"冰蝎"在此应运而生。最新版的冰蝎Shell管理工具在
整个交互过程都采用加密传输 ,相比于2.0的版本,冰蝎3.0 去除了协商密钥的过程 、 新增内存马注入
、界面由swt改为javafx,杀伤力进一步扩大且不易清除。
4月8日更新的冰蝎3.0Beta7版本介绍
斗象科技能力中心团队已在第一时间对冰蝎Behinder_v3.0 Beta 7进行流量分析、特征检测。目前,斗象智能安全PRS-
NTA产品或大圣云沙箱均可准确识别冰蝎v3.0 Beta 7及其变形的webshell。
分析过程
最新版本的冰蝎已不再使用使用密钥协商机制,而是使用内置的密钥进行加密传输,URI中也不再通过URI参数传输会话秘钥。总结冰蝎在流量交互中的特征,主要可分为两类:
-
可绕过特征,这类特征攻击者可通过构造报文进行绕过,致使设备检测不到冰蝎 webshell 特征。
-
非可绕过特征,攻击者在某些情景无法更改 HTTP 某些字段,致使有固定报文字段可供设备检测。
可绕过特征
1.Accept字段
冰蝎中使用的Accept字段与常规浏览器使用的不同,且每次请求使用的Accept内容都相同。但攻击者可修改请求头来绕过,不能作为关键的检测字段。
2.UserAgent字段
冰蝎中内置了25条User-Agent,每次连接 shell 会随机选择一个进行使用。如果发现历史流量中同一个源IP访问某个URL时,命中了以下列表中多个
UserAgent
,可基本确认为冰蝎特征。但攻击者可修改请求头来绕过。
3.长连接
冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。默认情况下,请求头和响应头里会带有 Connection。Connection: Keep-
Alive
02 不可绕过特征
1. URI中包括可执行脚本文件
Webshell常见的脚本文件后缀为.php/.aps./.jsp/.jspx/.aspx/等
2. 较长的base64编码的请求包
在加密通讯时,php/jsp shell 会提交base64编码后的请求数据,可以用正则进行base64的长度匹配
3.硬编码的Cache-Control及Referer
冰蝎中内置请求头Cache-Control,且Referer紧随其后,可以通过匹配Cache-Control: max-
age=0,并在其后关联Referer字段,以降低误报
4.请求头不包含Accept-Encoding字段
通过分析,冰蝎的所有请求包中未包含Accept-Encoding字段,可以通过正则排除该字段。
总结规则
使用单个特征误报较高,但多个特征配合使用可降低误报,PRS搭配使用多个特征,进一步提升特征检测的准确性。目前支持的检测内容如下:
大圣云沙箱:即时可用
对于尚未安装PRS-NTA产品或意图提升对冰蝎3.0检测精准度的甲方,可使用斗象科技提供大圣云沙箱服务。云沙箱
集成了独立webshell检测引擎,采用机器学习与高级统计分析算法 ,能够 准确识别冰蝎v3.0 Beta 7及其变形的webshell
,对抗有效高度混淆的webshell、自定义webshell等。
的webshell**
,对抗有效高度混淆的webshell、自定义webshell等。
[外链图片转存中…(img-bfnv3nsP-1694496415613)]
学习计划安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
![](https://i-blog.csdnimg.cn/blog_migrate/e8f8a0dee1d3e35e3a691f9edaaa82f8.jpeg)