专栏首页湛卢工作室冰蝎3.0简要分析

冰蝎3.0简要分析

冰蝎3.0 Beta 2今天发布,和v2.1相比,最重要的变化就是“去除动态密钥协商机制,采用预共享密钥,全程无明文交互,密钥格式为md5("admin")[0:16];”。

没有了秘钥交换过程,在冰蝎v2.1中的明显的流量特征“返回内容必定是16位的密钥”(返回包检测规则:^[a-fA-F0-9]{16}$)消失,给流量检测带来了更大的困难。

以php版本的shell为例,默认的秘钥为“e45e329feb5d925b”,通过md5("rebeyond")[0:16]得到,其中“rebeyond”是冰蝎3.0的默认密码。

抓包分析冰蝎3.0流量,连接后门的第一个post包已经是加密流量:

第一个包主要作用是进行秘钥key的验证,根据AES加密算法和预共享key,对抓到的加密请求进行解密:

再对AES解密后的base64编码内容进行解码,获得解密后的post数据:

如果服务端返回$content变量"93b5ca86-1a0a-48a6-8929-00528b33cedf"经过加密后的值,则认为key验证通过,进行后续流程,之后的通信全程加密。

由于key是攻击者预置,无法像2.0版本那样通过返回包获取,所以对加密流量无法解密,需要定位到冰蝎webshell后门才能获得。而冰蝎v3.0版本的webshell免杀也做了加强,webdir和d盾对冰蝎3.0自带的5个webshell后门的检出率都只有20%:

从流量侧进行检测的难度很大,网上有大佬还是能够根据包的长度特征、content-type、ua等方式找出一些特征,但在真实的业务环境中的检测效果还有待检测。

换个思路,流量层的检测能力也是有上限的,特别是对于加密的流量,单靠流量层的安全设备是不够的,按照纵深防御的理念,可以尝试从应用层、系统层的角度进行检测。以RASP应用层检测方案为例,目前OpenRASP技术仍然可以很好的检测到冰蝎3.0的攻击行为,防守方可以尝试。

祝大伙好运。

本文分享自微信公众号 - 湛卢工作室(xuehao_studio),作者:俞学浩

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-08-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 红蓝对抗——加密Webshell“冰蝎”攻防

    演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell正变得越来越流行,由于流量加...

    tinyfisher
  • CTF杂谈之PHP魔法与CBC加密

    PHP语言的开发者在几乎所有内置函数以及基本结构中使用了很多松散的比较和转换,防止程序中的变量因为程序员的不规范而频繁的报错,然而这却带来了安全问题。也正是因为...

    tinyfisher
  • opcode在webshell检测中的应用

    当PHP脚本被Zend Engine解析的时候,Zend Engine会对脚本进行词法、语法分析,然后编译成opcode来执行,类似JVM中的字节码(byte ...

    tinyfisher
  • 一次被告知泄露了“小米商城秘密”的App 渗透实战

    -----------------------------------------------------

    用户1631416
  • 基于流量的网络入侵检测系统实践若干问题分析与思考

    网络入侵检测在发展过程中,主要有两大流派:基于日志的入侵检测和基于流量的入侵检测。但因为基于日志的入侵检测的数据源来自各系统的运行日志,日志格式多种多样,标准化...

    FB客服
  • 深度学习: 随机失活 (dropout)

    按概率p 随机 将神经元 置 0 [如下(b)图],以 缓解 神经元之间 隐形的协同适应,从而达到降低模型复杂度的目的:

    JNingWei
  • 详解 | Dropout为何能防止过拟合?

    开篇明义,dropout是指在深度学习网络的训练过程中,对于神经网络单元,按照一定的概率将其暂时从网络中丢弃。注意是暂时,对于随机梯度下降来说,由于是随机丢弃,...

    AI科技大本营
  • 张雨石:关于深度学习中的dropout的两种理解

    用户1737318
  • 大幅减少训练迭代次数,提高泛化能力:IBM提出「新版Dropout」

    Dropout (Hinton et al.[2012]) 是提高深度神经网络(DNN)泛化能力的主要正则化技术之一。由于其简单、高效的特点,传统 dropou...

    机器之心
  • 大幅减少训练迭代次数,提高泛化能力:IBM提出「新版Dropout」

    Dropout (Hinton et al.[2012]) 是提高深度神经网络(DNN)泛化能力的主要正则化技术之一。由于其简单、高效的特点,传统 dropou...

    小草AI

扫码关注云+社区

领取腾讯云代金券

,,