内存马研判

• 内存马如何进行研判？
  内存马本身无文件、在内存中运行，无文件的web后门，成功标志是攻击者能够通过特制的HTTP请求与它进行交互，并成功执行命令，获取回显或建立更高级的C2信道。
  内存马大致分为：明文/弱加密内存马和强加密内存（如冰蝎、哥斯拉）
  A、明文/弱加密内存马请求特征：
  1、异常参数与密码：在GET/POST参数、cookie或header中存在固定的“密码”或“指令”字段。
  
  2、动态路径：内存马可以绑定在任何现有路径，访问静态资源或正常功能的路径，却触发了命令执行逻辑。
  B、加加密内存马（冰蝎/哥斯拉）请求特征
  
  2、攻击载荷特征：
  长度固定/规整：请求体长度通常是16的倍数（AES加密块大小），且每次请求长度可能相近
  高熵值：载荷内容在流量中显示为强随机的二进制数据，没有可读字符串
  
  分析内存马回显响应（成功执行证据）
  A、1、正常页面夹带恶意回显
  2、命令执行的结果被放在请求头中。
  3、content-type与内容不匹配。
  B、强加密内存马（冰蝎/哥斯拉）的成功响应特征
  1、加密响应体：响应包的content-type同样为applictain/octet-stream。长度固定、高熵值的二进制数据。存在双向加密流：请求是加密的二进制，响应也是加密的二进制流。
  2、固定长度响应。
  
  3、反弹shell、进程链异常、建立C2通信、内网横向移动。
  
• 应急响应
  1、立即隔离主机，把网线或禁用网络端口，在防火墙或交换机上设置严格访问控制策略，只允许特定管理IP访问该主机，并拒绝该主机的所有出站连接，切断攻击者C2通道。
  2、封堵IP
  3、内存转储与分析：使用MAT加载堆转储文件、查找可疑的Filter、Servlet、Controller或Listener实例。查找类名随机、没有对应的class文件、或被注入到已知组件中恶意对象。
  4、进程分析（ps | aux grep java、lsof -p ）、网络连接分析（netstat -antp | grep ESAT）
  5、日志分析：web应用日志（异常的URL、参数、User-Agent）、系统日志查看是否有异常进程创建记录。
  6、修复漏洞、升级主键、清除内存马、重启JAVA应用服务或重启服务器，释放内存。重新上线服务器。