T1505-003-webshell-冰蝎
来自ATT&CK的描述
Webshell是一个Web脚本,放置在可公开访问的Web服务器上,允许攻击者将Web服务器用作网络的网关。 Web shell可以提供多种功能,如虚拟终端、文件管理、数据库连接等。 除了服务器端脚本之外,Webshell可能还有一个客户端接口程序,用于与管理Web服务器的通信(例如,中国菜刀、C刀、蚁剑、冰蝎等)。
测试案例
暂无,可自行本地测试;
检测日志
HTTP流量
测试复现
暂无,建议自行本地测试;
测试留痕
暂无,建议本地自行测试,抓取流量数据;
检测规则/思路
suricata规则
参考来源:https://github.com/suricata-rules/suricata-rules/tree/master/Behinder
alert http any any -> any any (msg: "Behinder3 PHP HTTP Request"; flow: established, to_server; content:".php"; http_uri; pcre:"/[a-zA-Z0-9+/]{1000,}=/i"; flowbits:set,behinder3;noalert; classtype:shellcode-detect; sid: 3016017; rev: 1; metadata:created_at 2020_08_17,by al0ne;)
alert http any any -> any any (msg: "Behinder3 PHP HTTP Response"; flow: established,to_client; content:"200"; http_stat_code; flowbits: isset,behinder3; pcre:"/[a-zA-Z0-9+/]{100,}=/i"; classtype:shellcode-detect; sid: 3016018; rev: 1; metadata:created_at 2020_08_17,by al0ne;)
自定义检测规则
自定义规则进行防护:(uri_path * rco \.(jsp|jspx|php)$)&&(method * belong POST)&&(request_body * req ^[\w+/]{1000,}=?=?$)
建议
暂无
参考推荐
MITRE-ATT&CK-T1505-003
https://attack.mitre.org/techniques/T1505/003/
冰蝎3.0流量特征分析附特征
https://mp.weixin.qq.com/s/XMLK5OCpH9pICD9EL9nugA
冰蝎的前世今生:3.0新版本下的一些防护思考