觀成瞰云有效檢出冰蝎4.0加密流量

知名Webshell管理工具“冰蝎”（ Behinder）發布了4.0版更新，增加了諸多特性，如取消硬編碼通信協議，傳輸協議完全自定義等。觀成科技安全研究團隊立刻針對新版冰蝎加密流量展開了研究。

冰蝎4.0加密流量特征與3.0版相差比較大。首先是加密方式，客戶端自帶xor、xor_base64、aes、json和image等五種加密方式，每種加密方式都支持自定義加解密代碼；其次是傳輸方式，冰蝎4.0引入了okhttp3客戶端，因此HTTP協議交互、TLS協議交互與3.0的客戶端也有顯著不同。

基于上述分析，我們針對冰蝎4.0在TLS未解密（TLS協議流量）、TLS解密（HTTP協議流量）兩種場景下的流量進行抓取分析，并迅速升級檢測方案。目前，觀成瞰云經升級后，已實現針對冰蝎4.0各種加密流量的檢出。具體檢出情況如下：

• TLS未解密冰蝎4.0加密流量檢測：

• TLS解密冰蝎4.0加密流量檢測：

觀成瞰云（ENS）

觀成瞰云-加密威脅智能檢測系統（ENS）是觀成科技將人工智能與安全檢測技術相結合的創新型安全產品，可針對惡意軟件、黑客工具、非法應用等加密威脅進行有效檢測。該產品為觀成科技自主研發、具有完整的知識產權，解決了惡意加密流量檢測難題，填補了市場和技術空白。