2021年护网行动的第一天,冰蝎发布了更新版本。在SINESAFE的眼中,冰蝎反编译越来越简单,让更多人都可以参与魔改冰蝎的过程中。冰蝎的流量正在朝向加密化,混淆化的方向发展,对于全流量取证设备来讲压力越来越大。甚至,你真的认为部署的全流设备有用???
冰蝎更新主要有以下几点:
反编译越来越简单。
新增内存马注入。不同于以往的内存马注入方式,变得更难以清除
从流量部分来看,新版冰蝎的流量部分并没有太多变化。不出意外的话,各大安全厂商应该是可以查杀的。但是,不要忘记,新版反编译很简单,降低魔改冰蝎的门槛,也就是说,魔改流量冰蝎即将出世。
新版冰蝎的http请求函数,冰蝎为了实现更难清楚的目的,放弃了内存马的不落地的特征。转而使用JVM TI技术(rasp一样的技术),动态修改java http的处理部分。下面我们来看一下怎么实现的,在注入内存马的时候,shell会通过目标操作系统的类别判断上传哪种java agentjar包。路径在下图:我们随便点开一个分析
1.1 注入java agent
jar包被上传后,会首先执行下面的代码,该代码反射调用com.sun.tools.attach.VirtualMachine,VirtualMachine这个类提供一些调用jvm方法的途径。该类的说明文档在这里以供查阅 https://docs.oracle.com/javase/7/docs/jdk/api/attach/spec/com/sun/tools/attach/VirtualMachine.html。
需要注意的是,目前jvm只提供了加载java agent,但是没有提供卸载java agent。也就是说加载后是无法清除的,只能从重启的角度来清除该类型内存马,如果再配合我的JVM持久化方法呢?蓝队很难做应急响应去清除该类型webshell的。