一、关于冰蝎
1.1 简单介绍
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌 Webshell 管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。
由于通信流量被加密,传统的 WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密秘钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。
1.2 关于冰蝎通信
冰蝎通信大致分为两个阶段
第一阶段:
Attacker通过GET方法或者POST方法形如下图这样请求服务器密钥
服务器使用随机数MD5的高16位作为密钥,存储到会话的SESSIONID中,并返回密钥给attacker。密钥可通过wireshark抓包看到,见下图。
第二阶段:
1.客户端把待执行命令作为输入,利用AES算法或XOR运算进行加密,并发送至服务端;
2.服