概述
冰蝎是一款新型动态二进制加密网站工具。目前已经有6个版本。对于webshell的网络流量侧检测,主要有三个思路。一:webshell上传过程中文件还原进行样本分析,检测静态文件是否报毒。二:webshell上线或建立连接过程的数据通信流量。三:webshell已连接后执行远程控制命令过程的数据通信流量。本文通过分析多个历史冰蝎版本及五种脚本(asp|aspx|jsp|jspx|php),结合第二点检测冰蝎上线的静态特征,并总结部分snort规则。
冰蝎通讯原理
冰蝎采用AES加密,很多文章已有介绍,并有对应解密脚本,这里不再赘述。
冰蝎上线数据包(点击底部阅读原文查看)
V1.0版本冰蝎连接
抓取到的通信流量如下:
Content-Type: application/octet-stream表示以二进制流传输数据。GET请求体返回16位大小写字母或数字。
V1.1版本冰蝎连接
冰蝎工具从V1.1开始(包含V1.1)新增随机UserAgent支持,每次会话会从17种常见UserAgent中随机选取。这个版本的pass 与其他版本不同,pass(密码) 后跟10位数字。
V2.0.1版本冰蝎连接
php shell上线数据包
asp shell 上线数据包
特殊的数据包
特殊包类型一
仅在php shell 上线时发现。测试版本 V2.0和V2.0.1
php shell上线时会产生两个POST请求和响应。第一个POST 响应无响应体,第二个POST响应有响应体。这里需要额外写snort判断。用flowbits 设置多包联合检测。
第一个POST响应
第二个POST响应
特殊包类型二
有两条很久以前抓的冰蝎包,写的snort一直匹配不上,忘了是哪个版本。仔细一看,居然没有Content-Length字段。php shell 上线,GET响应居然无强特征 “Content-Length: 16,查资料说如果是 chunked 加密的,可能就不显示这个content-length字段了。这个特殊类型我选择性忽视。
下面也是php GET响应 无强特征 “Content-Length: 16”,看上去多了几个字符,是显示的问题,其实并没有多。