SHELLPUB完整檢測冰蝎4.0
首先出場的是我們的紅方選手:冰——蝎!(現場響起掌聲和尖叫聲,看來冰蝎的粉絲非常多)
冰蝎是最流行的Webshell管理工具之一,也許沒有之一。跟第一代WebShell管理工具“菜刀”相比,冰蝎的流量是加密的,特征更不明顯,能有效規避流量設備的檢測。
冰蝎客戶端用Java開發,管理端跨平臺,支持ASP/ASPX/JSP/PHP多種環境,是一款非常優秀的WebShell管理工具。在4.0版本中,更是支持Java Agent 無文件落地地注入木馬,也就是俗稱的“內存馬”。
關于河馬ShellPub
河馬ShellPub專注于WebShell查殺研究,身經百戰,倒在它腳下的WebShell不計其數,采用“傳統特征+深度檢測+機器學習+云端大數據多引擎檢測”技術,查殺精度高、誤報低。
既有河馬掃描器,也有在線查殺,而且兩款都是免費產品。
一聲鑼響(并沒有)對陣開始!
首先是在線查殺,Round 1,Fight!
成功檢出。
然后是內存馬專殺檢測:
順利檢測。
接下來是,搭載著ShellPub引擎的OneEDR(微步在線旗下的主機檢測與響應產品)嘗試檢測:
同樣順利檢出!
結論:河馬ShellPub支持完整檢測冰蝎4.0。
相關樣本
sha256 md5 描述 6efd0920eda270d01dab8de9060ee847e875ed3fe3627c6ec775efacbba2ae72 638b15cba12dc170d13a91ad4b5e4156 Behinder.jar 5e9f6acdaf21f2f93fceaa18996a58ca34b518b75b61156d19ff24c37ded2191 3ea302b24aca8cd97b3bcd1276c44ca3 json jsp 988596eb5a7f19a2343032c61de3a38632dbc2682ab7e314125cdd1e9533ef50 ad389fc59a29d66e5f44a9354171539f xor php 92368c08ec09b80eb4af6a1ffb7973071ca1d393257f15e99efe1de40aa59c2d 65d87bc16518a4e33e868cb5a0555ffa xor asp 8c655466bf2b340db8166f50b61c233b5e39011dd039d450db2bb368c9e0b48a d041c0181b76c7da83591e07449cac75 xor aspx e87ec0d15c550a7db4b5bcaa6cb8c63c5e8207937a16867e6e8150ddc5d40db7 7c27754711d1f67c94d3cdbc6be9c3d8 xor jsp 988596eb5a7f19a2343032c61de3a38632dbc2682ab7e314125cdd1e9533ef50 ad389fc59a29d66e5f44a9354171539f xor base64 php ce8407de5c86bcc249d0e89c407ece6233c52d4eeed520ff54db6f9bde00eda8 be8aaa55fc45296d40bf332ba762d80c xor base64 jsp af7117c285d449dfcbd5cdd99678dfb9b3807dc183565ac7ed7d6636d4bf15a7 af2687a7d19f0ee52b8f49a475ab8fd0 aes php 210da359b6447889dcdbe205b118e2565e88002016b61b01ac26169232634215 68772cf43532803b28d2aceefa61398d aes aspx 788f6be941d57d3fbe997821d3e021f14a4abc503f8f20454dcc7813c2183b6b bb96d88d130943e0a1e708ac13df4358 aes jsp 9d773f5cbe81e8ceddf90e57814559cea3ae6fcae527635cb5aaa21acf1fcc4d a52e26d8c3286c6005befb60cf2ab63c image jsp |
參考鏈接
https://www.aqniu.com/vendor/73751.html
https://github.com/rebeyond/Behinder
