Godzilla 和 冰蝎的流量特征对比

最新推荐文章于 2025-04-10 14:59:12 发布
最新推荐文章于 2025-04-10 14:59:12 发布
阅读量864 收藏 19
点赞数 13
文章标签: web安全 安全威胁分析 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_29173481/article/details/146311851
版权

Godzilla(哥斯拉)和 冰蝎(Behinder)是两款常见的 Webshell 管理工具,它们的流量特征各有不同,主要在 通信方式、加密方式和流量特征 上有所区别。

🔍 1. Godzilla(哥斯拉)流量特征

Godzilla 主要使用 基于 HTTP 的 Webshell 连接,并且通过 AES 加密 数据,避免明文传输特征数据。

📌 Godzilla 的核心流量特征

  1. AES 加密通信

    • 采用 AES ECB 模式 进行流量加密
    • 请求体的 Content-Type: application/x-www-form-urlencoded
    • 请求的数据是 Base64 编码的 AES 加密数据

  2. 请求结构

    • POST 方式
    • User-Agent 可能是伪造的随机浏览器 UA
    • Referer 为空或者伪造
    • 请求内容是 Base64 + AES 加密

  3. Godzilla 默认特征

    • 典型的 POST 请求: 
      POST /shell.php HTTP/1.1
Host: target.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Content-Type: application/x-www-form-urlencoded
Content-Length: 128

b6dce1fa347eb...  # (AES 加密数据,Base64 编码)
    • 解码后可能是 php://input 代码执行,或者执行其他命令

  4. Godzilla 免杀方式

    • 自定义加密(改 ECB 为 CBC 方式)
    • 使用自定义 Webshell 代理
    • 流量分割(拆分数据包,减少特征匹配)

🔍 2. 冰蝎(Behinder)流量特征

冰蝎的核心特点是使用 Java 反序列化 + AES 加密,并且默认使用 GZIP 压缩,其流量更加难以直接检测。

📌 冰蝎的核心流量特征

  1. AES + GZIP 加密

    • AES CBC 模式加密(密钥和 IV 由用户设定)
    • 数据经过 GZIP 压缩
    • 默认端口 80/443,使用 HTTP 或 HTTPS 传输

  2. 请求结构

    • POST 方式
    • 请求头 Referer 特殊
    • 请求体是 GZIP 压缩 + AES 加密的数据

  3. 冰蝎默认特征

    • 典型 POST 请求: 
      POST /shell.jsp HTTP/1.1
Host: target.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Referer: https://target.com/  # 可能会带有 Referer
Content-Type: application/octet-stream
Content-Length: 256

3c6e0b8a9c15224a...  # (AES + GZIP 加密数据)
    • 数据必须解压 GZIP + AES 解密后才能识别

  4. 冰蝎 免杀方式

    • 修改 AES 加密参数
    • 绕过 Referer 规则检测
    • 伪造正常 HTTP 流量
    • 自定义 Webshell 代码

🚀 Godzilla vs 冰蝎 流量特征对比

特征Godzilla(哥斯拉)冰蝎(Behinder)
加密方式AES ECBAES CBC + GZIP
请求方式POSTPOST
Referer为空或伪造可能有 Referer
User-Agent伪造浏览器 UA伪造浏览器 UA
流量类型Base64(AES(数据))GZIP(AES(数据))
免杀方式自定义加密、自定义 Webshell修改 AES 加密方式、GZIP 隐藏

💡 如何检测 Godzilla 和 冰蝎?

  1. 检测 POST + AES 加密数据

    • 如果流量中 POST 请求体是 Base64 编码的密文,需要警惕!

  2. Referer 规则

    • Godzilla 通常 Referer 为空
    • 冰蝎 Referer 可能是伪造的站点

  3. 异常 Content-Type

    • application/x-www-form-urlencoded(Godzilla)
    • application/octet-stream(冰蝎)

  4. GZIP 压缩分析

    • 冰蝎流量经过 AES + GZIP,需要解压缩后分析

  5. 监控文件上传行为

    • 发现 Webshell(如 shell.php)上传后,检测后续流量模式

🔥 总结

  • Godzilla 主要通过 AES ECB 加密 进行通信,流量表现为 Base64 编码的加密数据
  • 冰蝎 采用 AES CBC + GZIP 压缩,流量更加难检测,但 Referer 可能有特征。
  • 通过 流量分析、Referer 规则、Content-Type 检测、加密模式分析,可以有效检测这两种 Webshell 管理工具。

如果你想更深入了解如何 流量免杀、WAF 绕过、流量检测工具,可以继续探讨! 🚀

菜刀、冰蝎、蚁剑、哥斯拉流量特征
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
三条命令查杀冰蝎哥斯拉内存马
lufeirider的博客
11-04 1078
最近遇到一次真实的内存马排查case,之前自己也是有专门做过内存马查杀工具,于是重新回顾梳理,并把自己的一些方法分享出来。
菜刀,蚁剑,冰蝎哥斯拉流量特征
qq_51550750的博客
07-04 4982
菜刀,蚁剑,冰蝎哥斯拉流量特征
哥斯拉流量分析特征
m0_69185470的博客
04-10 485
我们在看哥斯拉最好还是要看此类的返回包更好的分析特点就在于他的16位md5值与base6416位md5值,着重要注意因为加载器的不同会变成相应的值,但是哥斯拉的第三次连接,返回包会产生大量的数据,虽然第二次第三次发送的数据包是一样的,但是只有第三回才会返回这么多数值,原因也很简单因为最后一回连接就是直接进入终端数据量会变大,注意根据加密的不同可能是多种加密。再后来我发现了当每一次命令执行的时候哥斯拉都会发送类似的请求,服务器会返回密文与之前的方式一样故此我们可以通过这个判断他的工具。
流量特征分析——蚁剑、菜刀、冰蝎哥斯拉
热门推荐
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD""XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀、蚁剑冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹特征,以便网络管理员安全专家能够更好地识别对抗这些工具所带来的潜在威胁。
webshell工具-冰蝎流量特征加密方式
qq_40898302的博客
05-25 2126
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。
蚁剑、哥斯拉、菜刀、冰蝎(3.0/4.0)流量特征
qq_22792465的博客
07-25 4078
环境搭建:采用php一句话进行测试,可以用bp设置代理进行抓包查看,或使用wireshark进行过滤抓包逐步解析。
菜刀,蚁剑,冰蝎哥斯拉流量特征
2301_76786857的博客
12-24 2993
菜刀,蚁剑,冰蝎哥斯拉四大webshell工具的流量特征
CTF哥斯拉冰蝎解码工具
02-23
承影_哥斯拉冰蝎解码工具1.1版本,助力CTF比赛
蚁剑冰蝎哥斯拉流量特征
01-07
### 蚁剑、冰蝎哥斯拉 WebShell 工具的网络通信流量特征 #### 蚁剑 (AntSword) 蚁剑采用静态加密方式处理其WebShell通信,这使得其流量具有一定的可识别性。然而,随着版本更新,蚁剑引入了更复杂的加密机制来...
蚁剑冰蝎哥斯拉流量特征
最新发布
04-23
冰蝎流量特征主要是TLS加密固定请求头,而哥斯拉则使用AES加密自定义User-Agent,如Shiro等。 接下来,我需要分别整理每个工具的静态动态特征。比如,蚁剑的流量在默认情况下可能包含特定的参数名,如“ant...
Godzilla:哥斯拉
05-10
Godzilla 运行环境 JavaDynamicPayload -> jre1.0及以上 CShapDynamicPayload -> .net2.0及以上 PhpDynamicPayload -> php5.0及以上 简介 Payload以及加密器支持 哥斯拉内置了3种Payload以及6种加密器,6种支持脚本...
哥斯拉冰蝎与蚁剑的流量特征
congsec的博客
07-14 1864
网络安全攻防中,不同的攻击工具各有其独特的流量特征。本文将深入浅出地介绍哥斯拉冰蝎蚁剑的流量特征,并详细分析菜刀的流量特征,帮助基础小白更好地理解这些工具在网络流量中的表现。
冰蝎、蚁剑、哥斯拉流量特征
qq_53218512的博客
06-11 5265
webshell管理工具,蚁剑、冰蝎哥斯拉流量特征
冰蝎/哥斯拉-流量特征分析
安于心,修于形
03-04 1253
所有请求中Accept: text/html,application/xhtml+xml,application/xml;所有响应中Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0。所有请求中Cookie中后面都存在;这里我们直接抓取数据包流量进行分析。这里我们直接抓取数据包流量进行分析。请求包当中头数据pass=
WebShell流量特征检测_冰蝎
徐徐徐的博客
09-06 1450
冰蝎为了实现可以在webshell内添加任意内容 (比如gif89a子类的文件头或者其它标示字符) 冰蝎在初始化密钥时会对webshell进行两次访问,然后比较两次页面返回的差异,把两次请求都相同的字符记录一个位置,后续加密会用到这两个位置(beginIndex,endIndex)冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。冰蝎默认 Accept 字段的值很特殊,这个特征存在于冰蝎的任何一个通讯阶段。②密钥使用的是连接密码的MD5值的前16位,并存储于Session中。
分析冰蝎流量特征以及请求包
weixin_46299490的博客
09-17 2145
冰蝎流量特征
冰蝎、菜刀、蚁剑、哥斯拉流量特征
故事讲予风听
07-18 3434
菜刀,蚁剑,冰蝎哥斯拉
冰蝎4.0 webshell 流量分析
2401_84578953的博客
09-27 1662
冰蝎是一款基于 Java 开发的动态加密通信流量的新型 Webshell 客户端。老牌 Webshell 管理神器 —— 中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。由于通信流量被加密,传统的 WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值