攻防实战 | 科来对冰蝎4.0加密流量的检测方法与回溯

小柒 · 发表于 2022-7-27 15:57:28

“冰蝎”是一款基于Java开发的动态加密通信流量的新型Webshell客户端，其最大特点是对交互流量进行AES对称加密，且加密密钥是由随机数函数动态生成，传统的 WAF、IDS 设备难以检测，给防守带来较大挑战。冰蝎4.0版本增加了多项功能，如允许用户自定义多类传输协议，并根据传输协议动态生成服务端等。

科来安全团队迅速对新版本中的加密流量展开研究，并提供有效检测方案。以xor_base64传输方式为例，进行分析过程如下：

1）第一次请求：判断是否可以建立连接

2）发现请求内容经过密钥（服务端的key）加密

3）使用4.0自带的传输协议进行解密

4）解密后的PHP文件如下

其中，content变量名称和内容是随机生成的，目的是为了绕过针对content字段的检测。

5）第一次响应：将第一次响应头中的数据进行 aes -> base64 解密

6）请求包解密的 content 和返回包的msg变量相同， status 解密后为 success

7）第二次请求：请求phpinfo判断系统等

8）解密后的结果

PS:如果第一次请求的status不为success就不会有第二次请求

目前，经过对多种场景下冰蝎4.0加密流量的抓包分析，科来已对旗下全线产品进行升级，实现针对冰蝎4.0各种加密流量的检测。

同时，科来全流量回溯分析技术能够对先前是否被攻击进行回溯，并复现全部过程。科来全流量存储全部数据包，可对已经发生、但未触发告警的数据包流量进行回查，对历史攻击、未知威胁提供取证数据。请科来客户及时更新规则库或者联系科来，我们竭诚守护您的网络安全。

自首届攻防演练至今，科来持续在防守研判组中承担着验证安全预警和研判分析的任务，凭借强大的全协议解析+回溯能力帮助防守方进行精准研判及回溯分析；同时，在0day分析、未知威胁分析、追踪与溯源、资产梳理、策略梳理、暴露面梳理等方面提供全方位的技术与方法支撑。

科来愿为您提供全面的网络安全保障服务，帮助您发现问题、定位问题，对攻击全链路实现可视化回查，了解安全问题发生的全过程，并提供数据安全取证。

如您需要服务，可以联系400 6869 069，或通过下方微信联系我们。

- End -

攻防实战 | 科来对冰蝎4.0加密流量的检测方法与回溯

本帖子中包含更多资源

浏览过的版块