冰蝎流量特征分析
这里我们直接抓取数据包流量进行分析
- Accept: application/json, text/javascript, /; q=0.01
- 冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。
- Connection: Keep-Alive #冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。
- 响应包头数据 TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
尝试对响应包头数据 TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd 进行解密,可以看到是命令执行成功的加密数据,所以基本上每个数据包当中等会存在。
哥斯拉流量特征分析
这里我们直接抓取数据包流量进行分析
所有请求中Cookie中后面都存在;
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
请求包当中头数据pass=
所有响应中Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0