冰蝎加密 WebShell 过杀软

用Web系统语言(如:ASP、PHP、JSP等)编写的WebShell，WebShell上传服务器后当成页面被攻击者访问，常当做后门。

WebShell危害 

做后门； 文件、数据库操作； 修改Web页面......

WebShell的特点

特点一：Web木马可大可小。
特点二：无法有效隐藏。
特点三：具有明显特征值。

命令执行函数：ebval、system、popen、exeshell_exec等。

文件功能函数：fopen、opendir、dirname、pathinfo等。

数据库操作类函数：mysql_query、mysqli_query等。

WebShell必须为可执行的网页格式。

一、冰蝎（Behinder）简介

演练中，第一代webshell管理工具“菜刀”的攻击流量特征明显，容易被安全设备检测到，攻击方越来越少使用，加密webshell 正变得越来越流行，由于流量加密，传统的WAF、WebIDS设备难以检测，给威胁监控带来较大挑战。

这其中最出名就是“冰蝎”，“冰蝎”是一款动态二进制加密网站管理客户端，演练中给防守方造成很大困扰，本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。

"冰蝎"客户端基于JAVA，所以可以跨平台使用，最新版本为v3.0 bate，兼容性较之前的版本有较大提升。加密不再依赖PHP openssl扩展功能，同时支持了简单的ASP。

主要功能为：基本信息、命令执行、虚拟终端、文件管理、Socks代理