“冰蝎”是一款基于java开发的动态加密通信流量的新型webshell客户端,其最大特点是对交互流量进行aes对称加密,且加密密钥是由随机数函数动态生成,传统的 waf、ids 设备难以检测,给防守带来较大挑战。冰蝎4.0版本增加了多项功能,如允许用户自定义多类传输协议,并根据传输协议动态生成服务端等。
科来安全团队迅速对新版本中的加密流量展开研究,并提供有效检测方案。
以xor_base64传输方式为例,进行分析过程如下:
其中,content变量名称和内容是随机生成的,目的是为了绕过针对content字段的检测。
5)第一次响应:将第一次响应头中的数据进行 aes -> base64 解密
6)请求包解密的 content 和返回包的msg变量相同, status 解密后为 success
ps:如果第一次请求的status不为success就不会有第二次请求
目前,经过对多种场景下冰蝎4.0加密流量的抓包分析,科来已对旗下全线产品进行升级,实现针对冰蝎4.0各种加密流量的检测。
同时,科来全流量回溯分析技术能够对先前是否被攻击进行回溯,并复现全部过程。科来全流量存储全部数据包,可对已经发生、但未触发告警的数据包流量进行回查,对历史攻击、未知威胁提供取证数据。请科来客户及时更新规则库或者联系科来,我们竭诚守护您的网络安全。
自首届攻防演练至今,科来持续在防守研判组中承担着验证安全预警和研判分析的任务,凭借强大的全协议解析 回溯能力帮助防守方进行精准研判及回溯分析;同时,在0day分析、未知威胁分析、追踪与溯源、资产梳理、策略梳理、暴露面梳理等方面提供全方位的技术与方法支撑。
科来愿为您提供全面的网络安全保障服务,帮助您发现问题、定位问题,对攻击全链路实现可视化回查,了解安全问题发生的全过程,并提供数据安全取证。
如您需要服务,可以联系400 6869 069,或通过下方微信联系10bet十博欢迎您。
