当前位置：网站首页>冰蝎V4.0攻击来袭，安全狗产品可全面检测

冰蝎V4.0攻击来袭，安全狗产品可全面检测

2022-08-05 03:15:00 【安全狗新闻】

免责声明

郑重声明：本号所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途，否则后果自行承担！

在过去两年的大型攻防演练期间，“冰蝎”让很多防守单位措手不及，也苦不堪言。但随后，针对冰蝎的特点，安全厂商也纷纷做出应对措施，更新自家安全产品。在今年的攻防实战号角正式打响时，冰蝎又出其不意地以“4.0的新面貌”来袭，再次让多家防守单位应对不及。

面对这一威胁，安全狗团队已于2022年7月25日下午更新了“Webshell查杀引擎”的规则库。同时，安全狗的产品也有针对冰蝎4.0的“注入内存马”功能，“内存马查杀引擎”默认支持检测。

本文将介绍冰蝎V4.0的特点及防御建议，希望以此帮助实战期间的防守单位。

一

冰蝎V4.0

1、冰蝎的起源

传统webshell管理工具“菜刀”的攻击流量特征明显，容易被检测设备拦截，攻击方迫切需求具有加密通信功能的webshell。由于流量加密，传统的WAF、IDS设备难以检测。因此，一款动态二进制加密网站管理客户端“冰蝎”应运而生，冰蝎所带来的网页后门攻击、无文件攻击等威胁给传统安全产品带来很大的困扰。

2冰蝎V4.0

“冰蝎”是最为流行WebShell管理工具之一，第一代WebShell管理工具"菜刀"的流量特征比较明显，很容易就被检测。冰蝎的流量是加密的，能够有效规避流量设备的检测；“冰蝎”客户端用Java开发，最新版本为v4.0，管理端跨平台，支持ASP/ASPX/JSP/PHP等多种环境。