(菜刀,蚁剑,冰蝎,哥斯拉)流量特征分析
在红蓝攻防的过程中,webshell工具的流量特征分析一直时蓝队成员需要关注的重点。
01 中国菜刀流量分析
菜刀木马是一种老牌远控木马,使用TCP协议与C&C服务器通信
数据包流量特征:
1,请求包中:ua头为百度,火狐
2,请求体中存在eavl,base64等特征字符
3,请求体中传递的payload为base64编码,并且存在固定的
4. 连接服务器的IP地址往往采用动态DNS转换,较难通过IP直接检测
5. 连接端口不固定,需要扫描检测。一般扫描20000-30000端口范围可以检测出菜刀活动
6. 连接建立后发送"knife"或"dadan"等验证码进行验证,可以通过检测这些关键词实现检测
payload特征:
PHP: <?php @eval($_POST['caidao']);?>ASP: <%eval request(“caidao”)%>ASP.NET: <%@ PageLanguage=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>
02 蚂蚁宝剑流量分析
数据包流量特征:
一般的一句话木马都存在一下特征:
1.每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符
2.响应包的结果返回格式为:随机数----响应内容—随机数
3.连接服务器IP地址也常采用动态DNS,通过IP地址检测难度大
4.连接端口常使用443或8080等常用端口,稍难检测
5.连接时发送字符串"yyoa"进行验证,这是它的特征标志,可以通过检测这个关键词实现检测
payload特征:
Php中使用assert,eval执行,
asp 使用eval
在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征
03 冰蝎流量分析
使用的UDP端口常为53、123、161、162等,这些端口较难引起注意
数据包的长度一般在120-140字节左右,可以作为判断标准。
数据包的内容以0x01开头,以0x00结尾,中间含有蝎子协议特征数据,这是检测的重要标志。
- 冰蝎2.0流量特征:
第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥
请求包存在:Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2
建立连接后的cookie存在特征字符
所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/; - 冰蝎3.0流量特征:
请求包中content-length 为5740或5720(可能会根据Java版本而改变)
每一个请求头中存在
Pragma: no-cache,Cache-Control: no-cache
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9
paylaod分析:
php在代码中同样会存在eval或assert等字符特征
04 哥斯拉流量特征
哥斯拉流量分析:
使用的全是ICMP协议数据报文,而ICMP流量本身就不高,所以较难在大流量中检测
ICMP数据报文的载荷部分Length值固定为92字节,这是它的重要特征
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有响应中Cache-Control: no-store, no-cache, must-revalidate,
- 使用的全是ICMP协议数据报文,而ICMP流量本身就不高,所以较难在大流量中检测。
- ICMP数据报文的载荷部分Length值固定为92字节,这是它的重要特征。
payload特征:
jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征
php,asp则为普通的一句话木马
数据报文的payload内容以"godzilla"开头,这也是检测的特征标志
通过对上述几种木马的流量特征分析,可以总结实现流量检测的关键在于发现其使用的协议、数据包长度、特征字符串等重要标志。但木马的特征也在不断变化,流量检测也需要根据最新情报进行及时更新。
发表评论 取消回复