【攻防速报】冰蝎V4.0攻击来袭,安全狗产品可全面检测
↑ 点击上方 关注我们
免责声明
郑重声明:本号所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途,否则后果自行承担!
在过去两年的大型攻防演练期间,“冰蝎”让很多防守单位措手不及,也苦不堪言。但随后,针对冰蝎的特点,安全厂商也纷纷做出应对措施,更新自家安全产品。在今年的攻防实战号角正式打响时,冰蝎又出其不意地以“4.0的新面貌”来袭,再次让多家防守单位应对不及。
面对这一威胁,安全狗团队已于2022年7月25日下午更新了“Webshell查杀引擎”的规则库。同时,安全狗的产品也有针对冰蝎4.0的“注入内存马”功能,“内存马查杀引擎”默认支持检测。
本文将介绍冰蝎V4.0的特点及防御建议,希望以此帮助实战期间的防守单位。
一
冰蝎V4.0
1冰蝎的起源
传统webshell管理工具“菜刀”的攻击流量特征明显,容易被检测设备拦截,攻击方迫切需求具有加密通信功能的webshell。由于流量加密,传统的WAF、IDS设备难以检测。因此,一款动态二进制加密网站管理客户端“冰蝎”应运而生,冰蝎所带来的网页后门攻击、无文件攻击等威胁给传统安全产品带来很大的困扰。
2冰蝎V4.0
“冰蝎”是最为流行WebShell管理工具之一,第一代WebShell管理工具"菜刀"的流量特征比较明显,很容易就被检测。冰蝎的流量是加密的,能够有效规避流量设备的检测;“冰蝎”客户端用Java开发,最新版本为v4.0,管理端跨平台,支持ASP/ASPX/JSP/PHP等多种环境。
图1
在最新的V4.0中支持Java Agent无文件落地注入内存马。
图2
可以说,冰蝎的改版,让去年防守方们针对冰蝎所做的部分措施和方法都付诸东流。
二
针对冰蝎V4.0的防御建议
1可防御点
(1) 重点防御文件上传、文件写入、文件包含漏洞; (2) 对冰蝎V4.0的内置所有类型Webshell的流量侧进行分析,针对性地检测各个类型webshell; (3) 开启系统异常行为监控,检测反弹Shell、系统高危命令执行等危险行为; (4) 做好安全基线的检查,及时修正安全基线,对可疑文件的可疑行为做好记录预警,方便审计。 |
2安全狗云眼可检测冰蝎V4.0
新一代云主机入侵监测及安全管理平台“云眼”的“Webshell查杀”及“内存马检测”等功能支持对冰蝎4.0的攻击进行检测。 |
此外,当攻击者利用冰蝎工具连接虚拟终端和命令执行时,“进程监控”等功能也可检测。
主机Webshell查杀
主机内存马检测
3安全狗云甲可检测冰蝎V4.0
自适应容器安全管理系统“云甲”的“镜像Webshell查杀”、“容器Webshell查杀”以及“容器内存马检测”等功能支持对冰蝎4.0的攻击进行检测。 |
此外,当攻击者利用冰蝎工具连接虚拟终端和命令执行时,“进程监控”与“行为模型”等功能也可检测。
镜像Webshell查杀
容器Webshell查杀
容器内存马检测
参考资料
https://github.com/rebeyond/Behinder