+
首先早期的菜刀的流量特征主要是明文传输,可能会有命令执行函数,后面的版本采用base64加密,具有base_encode字段,解密后可以发现可能含有命令执行函数像eval,execute函数等,流量字符用分号结尾,还有就是有%u00的unicode编码,还有就是有一段QG开头,7J结尾的固定代码。然后就是
蚁剑流量,采用aes加密,useragent请求头可能存在antsword字段,请求体中有int_set,set_time_limit,int_get等字段,响应通常为明文,还有就是参数名大多数采用_0x...的形式,
冰蝎在php代码中可能存在eval,assert等关键词,jsp代码中可能会有getclass(),getclassLoader()等字符特征,还有同一个ip的useragent的值频繁变换就有可能是冰蝎,还有就是他的cookie的请求格式都为cookie:phpsessid=;path=/;,
最后是哥斯拉特征,jsp代码中可能会具有getclass的关键字,payload可能有base64编码等特征。php和asp则是普通的一句话木马。在响应包的cache-control字段中有no-store,no-cache等特征,还有另一个强特征是cookie后面有一个分号,还有响应,哥斯拉会响应三次,而且我认为还有一个地方需要注意的就是webshell连接,所以一般会设置长时间连接,所以connection这里会是keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Accept:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2。)
冰蝎的版本特征
AES 加密
在建立链接之前会有一个 AES 密交互过程,body 体中都是 AES 加密后密文
冰蝎数据包总是伴随着大量的content-type: application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream
1.
冰蝎3.0:通过Java内存马和Java Agent技术,实现了内存马功能,能够在内存中操作Webshell而不依赖落地文件,解决了webshell本体的免杀问题。同时,更新到v3.0 beta7版本,增强了内存马防查杀机制。
冰蝎4.0:继续加强了免杀技术,增强了流量加密的灵活性,使其在攻防演练中更加难以被检测和拦截。
2.
冰蝎3.0:使用动态二进制加密通信,适用于WAF拦截回显等场景,客户端流量难以检测。
冰蝎4.0:增加了webshell生成功能,支持完全自定义流量加密方法,使流量加密的灵活性更高。
第二版本
菜刀: 流量特征主要表现在HTTP协议上,使用HTTP协议通信,控制命令和数据都通过POST请求传输。因此,可以通过HTTP请求头中的User-Agent、Referer等信息进行识别
蚁剑: 流量特征主要表现在数据包的加密方式和数据类型。蚁剑使用了AES加密算法对数据进行加密,同时还使用了自定义的二进制协议,在通信中传输各种类型的数据
冰蝎: 流量特征主要表现在数据包中的特殊标记和传输的数据类型。冰蝎的数据包中包含了特定的标记,如"flag=0x52415631",用于标识该数据包是冰蝎的控制命令。此外,冰蝎还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。
哥斯拉: 流量特征主要表现在数据包的特殊标记和数据类型。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据