免杀对抗—Behinder魔改&流量特征去除

前言

在现实的攻防中，往往webshell要比主机后门要用得多，因为我们首先要突破的目标是网站嘛，而且waf也往往会更注重webshell的检测。webshell的免杀分为两个，一是静态查杀，二是流量查杀。静态查杀不用多说了，匹配特征码特征值，流量查杀则是根据你webshell的流量特征来判断是否是恶意的行为。

实验环境

JDK1.8，Behinder V4.1

项目构建

老样子先对jar包进行反编译，这里分享一个在线反编译的网站。

Java decompiler online / APK decompiler - Decompiler.com

idea新建一个项目，叫Behinder，jdk建议选择1.8的，因为Behinder是以jdk1.8环境为基础运行的，防止后续的打包出问题。

在Behinder目录下新建一个目录名为lib，把未反编译的jar包拖进去，同时把已经反编译好的jar包解呀到Behinder目录下面。

点击文件 -> 模块 -> 点击依赖 -> 点击加号。

点击加号之后选择JAR或者目录，接着选择我们lib目录下jar包。

记得勾选上。

再来到工件这里，点击左上角的加号。

选择来自具有依赖项的模块。

主类选择后面.ui的，因为你打开一个软件最先显示的肯定是UI设计嘛，所以大多数主类也就是入口点都是xxxx.ui。

项目构建完毕。

流量特征去除

我们先来看看Behinder的原始流量特征，可以看到以下的几个字段都是特征来的。

Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Content-type: application/x-www-form-urlencoded

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36

我们现在要修改这几个字段的内容，去除特征。直接搜流量的特征值，可以看到这个特征在Constants.java代码里面。

我们找到要修改的Java文件，右键->点击重构->选择复制，要复制到src目录下才行，因为这个目录是开发目录，记得路径要对得上！！！

src目录。

可以看到Accepts头的值和我们上述的流量特征一样，这里还有版本啥的代码。

修改Accepts头，还有版本号也一并修改掉。

点击构建->选择构建工件->所有工件。

然后会在out目录下生成一个jar包。

我们可以运行这个jar包，看看是否修改成功了，可以看到右下角版本变为我们修改的版本了。

Accept头也变了。

继续把剩下的特征也都去除掉，直接搜即可，在ShellService.java中可以找到剩下的特征。可以看到UA头不是写死的，而是通过this.getCurrentUserAgent()方法获取的。这是Behinder的一个特点，就是UA头是从它里面内置的十个中随机获取的。

去除特征修改如下。

重新构建一下，运行起来试试效果，可以看到特征全无了。

静态免杀

不知道是不是这个工具的问题，这个我没有搞成功，但还是记录一下。我们在传输协议这里生成webshell的时候，有多重加密方式可供选择，我们上面的数据包会有一段很长的编码，就是由Behinder内置的算法对webshell加密形成的。

如果我们用Behinder内置的算法的话，别人拿去解密那你不就炸肛了吗，Behinder支持自己导入算法，也就是说我们也可自己写一个算法导入进去。如果你不会写算法(我也不会)，你可以叫AI帮你写一个，或者网上找一下。我这里找了一个网上找了一个把数据加密成XML的算法。

//加密
private byte[] Encrypt(byte[] data) throws Exception
{
String xml="<?xml version=\"1.0\"?><user><id>1</id><content>DaYer0</content></user>";
String key = "ffffcmldjt12138s";
String transformation = "AES/ECB/PKCS5Padding";

//创建加密对象

javax.crypto.Cipher cipher = javax.crypto.Cipher.getInstance(transformation);

//创建加密规则
javax.crypto.spec.SecretKeySpec secretKeySpec = new javax.crypto.spec.SecretKeySpec(key.getBytes(), "AES");

//加密初始化
cipher.init(javax.crypto.Cipher.ENCRYPT_MODE,secretKeySpec);

//调用加密方法

byte[] bytes = cipher.doFinal(data); 
String encode = java.util.Base64.getEncoder().encodeToString(bytes);

xml=xml.replace("DaYer0",encode);
return xml.getBytes();
}

解密
private byte[] Decrypt(byte[] data) throws Exception
{
java.io.ByteArrayOutputStream bos=new java.io.ByteArrayOutputStream();
bos.write(data,46,data.length-63);
String input = new String(bos.toByteArray());
//定义key（16位）
String key = "ffffcmldjt12138s";
String transformation = "AES/ECB/PKCS5Padding";
//创建解密对象
javax.crypto.Cipher cipher = javax.crypto.Cipher.getInstance(transformation);
//创建解密规则
javax.crypto.spec.SecretKeySpec secretKeySpec = new javax.crypto.spec.SecretKeySpec(key.getBytes(), "AES");
//解密初始化
cipher.init(javax.crypto.Cipher.DECRYPT_MODE,secretKeySpec);
//调用解密方法
byte[] bytes1 = java.util.Base64.getDecoder().decode(input);
byte[] bytes = cipher.doFinal(bytes1); 
return bytes;
}

接着我们新建一个加密方式。

把加密和解密的代码搞上去，如果校验通过则会显示保存成功，就是用你加密代码加密数据，然后再用你的解密代码还原得出来数据，就是校验通过。值得一提的是本地的加解密函数只能Java来写，想要导入其它的代码的加密函数可以选择远程。

保存之后我们点击分享，就会保存成为一个config文件。

在\net\rebeyond\behinder\resource\transprotocol目录下我们可以找到它存放的加密代码，也就是我们要把XML.config放到此目录下才行。

把目录transprotocol移到src目录下面，记得路径不要错，再把我们的XML.config复制进去。

重构项目，运行起来试试，可以看到我们的XML已经写入。

利用XML加密生成一个服务端连接试试，问题就出现了。显示连接失败，右下角显示解密错误，不理解为啥，校验的时候是通过的，而且这个Behinder自带的算法有好几个也是不行的，连接就报错说解密错误。不理解，有无懂的大佬解释一下。

最后就是重新编译一下修改过的代码文件，覆盖掉原来jar包里面的文件即可。

总结

这个冰蝎生成的webshell基本都连不上的，有没有师傅是和我一样的情况，妈的。不知道是这个工具的问题，还是我这里的问题，但是我直接从github下载直接用也是不行，哎。

最后经典语句收尾

以上仅为个人的拙见，如何有不对的地方，欢迎各位师傅指正与补充，有兴趣的师傅可以一起交流学习。