今天上午,知名WebShell管理工具“冰蝎”在Github上发布了4.0版本更新,新增了多个特性,包括无文件内存马。
这引起了微步在线旗下专注于Webshell查杀研究的“河马ShellPub”团队注意,他们拿ShellPub试了试,看看能不能查杀。
先介绍一下对阵双方。
首先出场的是我们的红方选手:冰——蝎!(现场响起掌声和尖叫声,看来冰蝎的粉丝非常多)
冰蝎是最流行的Webshell管理工具之一,也许没有之一。跟第一代WebShell管理工具“菜刀”相比,冰蝎的流量是加密的,特征更不明显,能有效规避流量设备的检测。冰蝎客户端用Java开发,管理端跨平台,支持ASP/ASPX/JSP/PHP多种环境,是一款非常优秀的WebShell管理工具。在4.0版本中,更是支持Java Agent 无文件落地地注入木马,也就是俗称的“内存马”。
河马ShellPub专注于WebShell查杀研究,身经百战,倒在它脚下的WebShell不计其数,采用“传统特征+深度检测+机器学习+云端大数据多引擎检测”技术,查杀精度高、误报低。既有河马扫描器,也有在线查杀,而且两款都是免费产品。
顺利检测。
接下来是,搭载着ShellPub引擎的OneEDR(微步在线旗下的主机检测与响应产品)尝试检测:结论:河马ShellPub支持完整检测冰蝎4.0。
| | |
| 6efd0920eda270d01dab8de9060ee847e875ed3fe3627c6ec775efacbba2ae72 | 638b15cba12dc170d13a91ad4b5e4156 | |
| 5e9f6acdaf21f2f93fceaa18996a58ca34b518b75b61156d19ff24c37ded2191 | 3ea302b24aca8cd97b3bcd1276c44ca3 | |
| 988596eb5a7f19a2343032c61de3a38632dbc2682ab7e314125cdd1e9533ef50 | ad389fc59a29d66e5f44a9354171539f | |
| 92368c08ec09b80eb4af6a1ffb7973071ca1d393257f15e99efe1de40aa59c2d | 65d87bc16518a4e33e868cb5a0555ffa | |
| 8c655466bf2b340db8166f50b61c233b5e39011dd039d450db2bb368c9e0b48a | d041c0181b76c7da83591e07449cac75 | |
| e87ec0d15c550a7db4b5bcaa6cb8c63c5e8207937a16867e6e8150ddc5d40db7 | 7c27754711d1f67c94d3cdbc6be9c3d8 | |
| 988596eb5a7f19a2343032c61de3a38632dbc2682ab7e314125cdd1e9533ef50 | ad389fc59a29d66e5f44a9354171539f | |
| ce8407de5c86bcc249d0e89c407ece6233c52d4eeed520ff54db6f9bde00eda8 | be8aaa55fc45296d40bf332ba762d80c | |
| af7117c285d449dfcbd5cdd99678dfb9b3807dc183565ac7ed7d6636d4bf15a7 | af2687a7d19f0ee52b8f49a475ab8fd0 | |
| 210da359b6447889dcdbe205b118e2565e88002016b61b01ac26169232634215 | 68772cf43532803b28d2aceefa61398d | |
| 788f6be941d57d3fbe997821d3e021f14a4abc503f8f20454dcc7813c2183b6b | bb96d88d130943e0a1e708ac13df4358 | |
| 9d773f5cbe81e8ceddf90e57814559cea3ae6fcae527635cb5aaa21acf1fcc4d | a52e26d8c3286c6005befb60cf2ab63c | |
https://www.aqniu.com/vendor/73751.html
https://github.com/rebeyond/Behinder 
还没有评论,来说两句吧...