冰蝎4.0特征分析及流量检测思路

这篇具有很好参考价值的文章主要介绍了冰蝎4.0特征分析及流量检测思路。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

冰蝎4.0特征分析及流量检测思路

冰蝎4.0介绍

冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌Webshell管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。

由于通信流量被加密,传统的 WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。

1、新版本

修复问题:
1.修复了在zimbra环境下的兼容性问题;
2.修复了在exchange环境下的兼容性问题;
3.修复了Linux环境下打开文件失败的问题;
4.修复了命令执行中输入反斜杠导致后续无法输入新命令的问题;
5.修复了列目录时目录跳动的问题;
6.修复JDK18+执行命令乱码的问题;
7.修复内网穿透模块的几个影响隧道稳定性的几个问题;
8.修复了代码编辑框的复制粘贴问题;
9.其他一些优化。

新增功能:

1.新增支持多线程超大文件上传、下载;
2.新增文件打包压缩;
3.新增数据库连接配置可保存;
4.取消硬编码通信协议,传输协议完全自定义,并支持即时在线校验测试。
5.新增平行世界模块,可对目标内网资产进行管理;
6.新增主机扫描、端口扫描、服务识别模块;
7.新增支持Java9~java15+版本Agent内存马一键注入;
8.新增支持Java Agent无文件落地注入内存马;
9.新增多层网络子Shell穿透模块,实现多层”蝎中蝎”;
10.新增离线模式,自动缓存数据,如shell丢失,可离线查看已缓存内容;
11.开放插件开发模块,可开发自定义插件,内置多款插件;
12.支持二进制服务端,服务端不再依赖web。

2、工具通信原理

冰蝎的通信过程可以分为两个阶段:密钥协商和加密传输
第一阶段-密钥协商

1.攻击者通过 GET 或者 POST 方法,形如 http://127.0.0.1/shell.aspx?pass=645的请求服务器密钥;

2.服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。

第二阶段-加密传输

1)客户端把待执行命令作为输入,利用 AES 算法或 XOR 运算进行加密,并发送至服务端;

2)服务端接受密文后进行 AES 或 XOR 运算解密,执行相应的命令;

3)执行结果通过AES加密后返回给攻击者。
冰蝎4.0特征分析及流量检测思路

特征检测

Accept字段

Accept: application/json, text/javascript, /; q=0.01
冰蝎4.0特征分析及流量检测思路
检测思路

浏览器可接受任何文件,但最倾向application/json和 text/javascript

规则

file_data的作用和http_server_body差不多,都是使content匹配response body中的内容,唯一不同的是使用了file_data关键字的规则,其在file_data之后的content都会受到它的影响。file_data之后的content都必须在response body里匹配。。

Content-Type

流量特征
Content-type: Application/x-www-form-urlencoded

检测思路
可以把这个字段作为一个弱特征,辅助其他特征来检测

User-agent 字段

流量特征

冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。
冰蝎4.0特征分析及流量检测思路
冰蝎4.0特征分析及流量检测思路
冰蝎4.0特征分析及流量检测思路
检测思路

在较短较简单的content字段后加上fast_pattern关键字则会优先匹配这个content。避免浪费太长时间在匹配user-agent上。

snort编写可以用content:“User-Agent”;content:“浏览器版本”。来匹配相应的十个浏览器。

4、端口

流量特征

冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。

检测思路

可以对符合该范围内的端口告警。

5、PHP webshell 中存在固定代码

流量特征

$post=Decrypt(file_get_contents(“php://input”));

eval($post);

检测思路

content字段中,将eval($post)作为流量特征纳入。

6、长连接

流量特征

冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。默认情况下,请求头和响应头里会带有 Connection。

Connection: Keep-Alive
冰蝎4.0特征分析及流量检测思路
检测思路
可以作为辅助的流量特征。

7、固定的请求头和响应头

流量特征

请求字节头:

dFAXQV1LORcHRQtLRlwMAhwFTAg/M
冰蝎4.0特征分析及流量检测思路
响应字节头:

TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
冰蝎4.0特征分析及流量检测思路
解密报文:
冰蝎4.0特征分析及流量检测思路
通过webshell脚本,逆向分析揭秘算法:
冰蝎4.0特征分析及流量检测思路
冰蝎4.0特征分析及流量检测思路
得到报文内容:冰蝎4.0特征分析及流量检测思路
将报文base64解密得到:冰蝎4.0特征分析及流量检测思路
冰蝎4.0特征分析及流量检测思路
可以获取到目录信息

8、连接密码

流量特征:

默认时,所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond

9、webshell特征

JSP webshell代码特征冰蝎4.0特征分析及流量检测思路
PHP webshell代码特征冰蝎4.0特征分析及流量检测思路

10、请求和响应

冰蝎4.0特征分析及流量检测思路
冰蝎4.0特征分析及流量检测思路

冰蝎连接时不用输入密码,根据对冰蝎的使用分析,冰蝎4.0可以在初始时自定义连接密码。冰蝎4.0特征分析及流量检测思路
要设置自定义密码,需要在本地和远程加解密函数中都保存$key。

这样的话,如果对方更换密码,初始字符串经过密钥加密,那么它的请求头和响应头都会发生变化,这就需要针对webshell中的$key动态改变解密函数才能得到解密后固定的请求头和响应头

另外,每次发起连接时都会发出两次http请求,默认连接密钥下,所有响应头都相同,第二次请求头比较特殊,初次之外,所有的请求头都相同。

第一次请求解密

dFAXQV1LORcHRQtLRlwMAhwFTAg/M
@error_reporting(0);\r冰蝎4.0特征分析及流量检测思路
第二次请求解密

OT8AQUBWFDoQUBRWQEELC1MdVRoJNGwDF1sHTVtaDEVZVAxdGh0RDQNBAU9X
error_reporting(0);\r
冰蝎4.0特征分析及流量检测思路文章来源地址https://www.toymoban.com/news/detail-457634.html

到了这里,关于冰蝎4.0特征分析及流量检测思路的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)

    冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备 难以 检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。 gi

    2024年02月02日
    浏览(50)
  • 冰蝎各版本工具分析与魔改思路

    github项目:https://github.com/rebeyond/Behinder/releases/ V2 源码:https://github.com/hktalent/afterLoader 执行流程图: 首次连接一句话服务端时,客户端首先向服务器端发起GET请求,只有一个参数,格式为?pass=123形式,服务器端随机产生一个128位的密钥,把密钥回显给客户端,同时把密钥写进

    2024年02月04日
    浏览(31)
  • 渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析

    在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。 webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访

    2024年02月16日
    浏览(33)
  • [玄机]流量特征分析-蚁剑流量分析

    流量特征分析-蚁剑流量分析        题目做法及思路解析(个人分享) AntSword(蚁剑)是一款开源的网络安全工具,常用于网络渗透测试和攻击。它可以远程连接并控制被攻击计算机,执行命令、上传下载文件等操作。 蚁剑与网站进行数据交互的过程中,发送的数据是经

    2024年01月25日
    浏览(47)
  • 告警流量特征分析(护网蓝初面试干货)

    目录 一、流量特征 1、SQL注入 2、XSS 3、挖矿行为 二、webshell流量特征 1、中国菜刀 2、蚁剑 3、冰蝎 三、对告警流量分析 1、信息泄露 2、SQL注入 3、文件上传 4、XSS 5、代码执行 (1)对sqlmap的判断:若攻击者使用sqlmap且未加 --random-agent参数,则可以通过捕获请求包的user-agent字

    2024年02月08日
    浏览(41)
  • 2023 华数杯(C题)解析+代码思路文章全解!特征分析规划数学建模

    母亲是婴儿生命中最重要的人之一,她不仅为婴儿提供营养物质和身体保护,还为婴儿提供情感支持和安全感。研究显示,母亲的心理状态会对婴儿的发展产生重要影响。本研究目标是利用这些数据,建立婴儿睡眠质量与母亲身心指标之间的关联模型。我们收集了母亲的人口统计学

    2024年02月14日
    浏览(38)
  • 国科大网络协议安全大作业——分析流量并使用Snort规则进行检测

    SHA256(Secure Hash Algorithm 256-bit)是一种密码学哈希函数,用于计算数据的哈希值。每个文件使用一个哈希算法只会有一个确定的哈希值。 被感染主机设置为ubuntu22.04,虚拟机IP地址为192.168.88.142 原因:避免wireshark奇怪报错  2.2.1在终端执行 file命令查看文件类型 2.2.2计算该文件

    2024年02月04日
    浏览(51)
  • 竞赛 深度学习交通车辆流量分析 - 目标检测与跟踪 - python opencv

    🔥 优质竞赛项目系列,今天要分享的是 🚩 **基于深度学习得交通车辆流量分析 ** 该项目较为新颖,适合作为竞赛课题方向,学长非常推荐! 🥇学长这里给一个题目综合评分(每项满分5分) 难度系数:3分 工作量:3分 创新点:5分 🧿 更多资料, 项目分享: https://gitee.com/da

    2024年02月07日
    浏览(47)
  • 竞赛选题 深度学习交通车辆流量分析 - 目标检测与跟踪 - python opencv

    🔥 优质竞赛项目系列,今天要分享的是 🚩 **基于深度学习得交通车辆流量分析 ** 该项目较为新颖,适合作为竞赛课题方向,学长非常推荐! 🥇学长这里给一个题目综合评分(每项满分5分) 难度系数:3分 工作量:3分 创新点:5分 🧿 更多资料, 项目分享: https://gitee.com/da

    2024年02月06日
    浏览(55)
  • [JAVA安全webshell]冰蝎jsp木马分析

    只是分享一下对冰蝎webshell分析的一个学习过程,冰蝎webshell使用了加载字节码的方式执行恶意代码。 首先打开webshell 这么一行实在不好看,先把他分行吧。 分完行之后,就很清晰明了了。 导入了三个依赖,一个是标准库,两个估计用于加密。 然后定义了一个类U,继承自

    2024年02月09日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包