冰蝎、蚁剑、哥斯拉的流量特征
1. 蚁剑流量特征
1.1 蚁剑webshell静态特征
蚁剑中php使用assert、eval执行;asp只有eval执行;在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征。
1.2 蚁剑webshell动态特征
我们使用一句话木马上传webshell,抓包后会发现每个请求体都存在以
@ini_set("display_errors","0");@set_time_limit(0)开头。
并且响应体的返回结果是base64编码发混淆字符,格式为:随机数 结果 随机数
。
去除混淆字符(随机数)后进行base64解码,解码后响应体的返回结果的格式为:
随机数 解码后的结果 随机数
。观察payload可以发现攻击行为。另外,蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以
“_0x.....=”
这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。
2. 冰蝎流量特征
2.1 冰蝎2.0
使用```AES加密 + base64编码```,AES使用动态密钥对通信进行加密,进行请求时内置了十几个User-Agent头,每次请求时会随机选择其中的一个。因此当发现一个ip的请求头中的user-agent在频繁变换,就可能是冰蝎。
2.2 冰蝎3.0
使用
AES加密 + base64编码
,取消了2.0的动态获取密钥,使用固定的连接密钥,AES加密的密钥为webshell连接密码的MD5的前16位,默认连接密码是"rebeyond"(即密钥是md5('rebeyond')[0:16]=e45e329feb5d925b)。
进行请求时内置了十几个User-Agent头,每次请求时会随机选择其中的一个。因此当发现一个ip的请求头中的user-agent在频繁变换,就可能是冰蝎。3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream。
2.3 冰蝎4.0
- 提供了传输协议自定义的功能,让用户对流量的加密和解密进行自定义,实现流量加解密协议的去中心化。v4.0版本不再有连接密码的概念,自定义传输协议的算法就是连接密码。
- Accept字段(弱特征),通常是Accept: application/json, text/javascript, /; q=0.01 意思是浏览器可接受任何文件,但最倾向application/json 和 text/javascript。
- Content-Type字段(弱特征),通常是Content-type: Application/x-www-form-urlencoded
- 与冰蝎的前述版本相似,进行请求时内置了十几个User-Agent头,每次请求时会随机选择其中的一个。
- 连接的端口有一定的特征,冰蝎与webshell建立连接的同时,java也与目的主机建立tcp连接,每次连接使用本地端口在49700左右(就是比较大的端口),每连接一次,每建立一次新的连接,端口就依次增加。
- 使用长连接,避免了频繁的握手造成的资源开销。默认情况下,请求头和响应头里会带有 Connection:Keep-Alive
- 有固定的请求头和响应头,请求字节头:dFAXQV1LORcHRQtLRlwMAhwFTAg/M ,响应字节头:TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
- 默认时,冰蝎 webshell都有“e45e329feb5d925b” 一串密钥,与冰蝎3.0相同。
3. 哥斯拉流量特征
哥斯拉支持多种加密方式,采用了和冰蝎 2.0 类似的密钥交换方式。它的webshell需要动态生成,可以根据需求选择不同的加密方式。
3.1 哥斯拉静态特征
在默认脚本编码的情况下,jsp会出现
xc、pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码
等特征。
3.2 哥斯拉动态特征
- User-Agent字段(弱特征),如果采用默认的情况,会暴露使用的jdk信息。不过哥斯拉支持自定义HTTP头部,这个默认特征是可以很容易去除的。
- Accept字段(弱特征),默认是
Accept:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2。
同上,这个也可修改,只能作为辅助检测的特征。Cookie中有一个非常关键的特征,最后会有个分号
。估计后续的版本会修复。- 响应体的数据有一定特征,哥斯拉会把一个32位的md5字符串按照一半拆分,分别放在base64编码的数据的前后两部分。整个响应包的结构体征为:md5前十六位+base64+md5后十六位。
4. 菜刀流量特征
4.1 菜刀静态特征
菜刀使用一句话木马,特征十分明显,在PHP、ASP、ASP.NET的网站都可以:
PHP: <?php @eval([$_post['test']]); ?>
ASP: <% eval request("test")%>
ASP.NET: <%@ Page Language="Javascript"%><% eval(Request.Item["test"],"unsafe");%>
4.2 菜刀动态特征
- payload在请求体中,采用url编码+base64编码,payload部分是明文传输。
- payload中有eval或assert、base64_decode这样的字符。
- payload中有默认固定的&z0=QGluaV9zZXQ…这样base64加密的攻击载荷,参数z0对应$_POST[z0]接收到的数据,且固定为QGluaV9zZXQ开头。进行base64解码后可看到代码:@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);这段意思是首先关闭报错和magic_quotes,接下来去获取主机的信息。
以上内容,部分转载自https://blog.csdn.net/Bossfrank/article/details/130502488