本文主要是介绍冰蝎V4.0攻击来袭,安全狗产品可全面检测,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
免责声明
郑重声明:本号所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途,否则后果自行承担!
在过去两年的大型攻防演练期间,“冰蝎”让很多防守单位措手不及,也苦不堪言。但随后,针对冰蝎的特点,安全厂商也纷纷做出应对措施,更新自家安全产品。在今年的攻防实战号角正式打响时,冰蝎又出其不意地以“4.0的新面貌”来袭,再次让多家防守单位应对不及。
面对这一威胁,安全狗团队已于2022年7月25日下午更新了“Webshell查杀引擎”的规则库。同时,安全狗的产品也有针对冰蝎4.0的“注入内存马”功能,“内存马查杀引擎”默认支持检测。
本文将介绍冰蝎V4.0的特点及防御建议,希望以此帮助实战期间的防守单位。
一
冰蝎V4.0
1、冰蝎的起源
传统webshell管理工具“菜刀”的攻击流量特征明显,容易被检测设备拦截,攻击方迫切需求具有加密通信功能的webshell。由于流量加密,传统的WAF、IDS设备难以检测。因此,一款动态二进制加密网站管理客户端“冰蝎”应运而生,冰蝎所带来的网页后门攻击、无文件攻击等威胁给传统安全产品带来很大的困扰。
2冰蝎V4.0
“冰蝎”是最为流行WebShell管理工具之一,第一代WebShell管理工具"菜刀"的流量特征比较明显,很容易就被检测。冰蝎的流量是加密的,能够有效规避流量设备的检测;“冰蝎”客户端用Java开发,最新版本为v4.0,管理端跨平台,支持ASP/ASPX/JSP/PHP等多种环境。
图1
在最新的V4.0中支持Java Agent无文件落地注入内存马。
图2
可以说,冰蝎的改版,让去年防守方们针对冰蝎所做的部分措施和方法都付诸东流。
二
针对冰蝎V4.0的防御建议
1、可防御点
| (1) 重点防御文件上传、文件写入、文件包含漏洞; (2) 对冰蝎V4.0的内置所有类型Webshell的流量侧进行分析,针对性地检测各个类型webshell; (3) 开启系统异常行为监控,检测反弹Shell、系统高危命令执行等危险行为; (4) 做好安全基线的检查,及时修正安全基线,对可疑文件的可疑行为做好记录预警,方便审计。 |
2、安全狗云眼可检测冰蝎V4.0
| 新一代云主机入侵监测及安全管理平台“云眼”的“Webshell查杀”及“内存马检测”等功能支持对冰蝎4.0的攻击进行检测。 |
此外,当攻击者利用冰蝎工具连接虚拟终端和命令执行时,“进程监控”等功能也可检测。
-
主机Webshell查杀
图3
-
主机内存马检测
图4
3安全狗云甲可检测冰蝎V4.0
| 自适应容器安全管理系统“云甲”的“镜像Webshell查杀”、“容器Webshell查杀”以及“容器内存马检测”等功能支持对冰蝎4.0的攻击进行检测。 |
此外,当攻击者利用冰蝎工具连接虚拟终端和命令执行时,“进程监控”与“行为模型”等功能也可检测。
-
镜像Webshell查杀
图5
-
容器Webshell查杀
图6
-
容器内存马检测
图7
参考资料
https://github.com/rebeyond/Behinder
这篇关于冰蝎V4.0攻击来袭,安全狗产品可全面检测的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
