歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

冰蝎動態二進制加密WebShell基于流量側檢測方案

來源:本站整理 作者:佚名 時間:2019-12-08 TAG: 我要投稿

冰蝎是一款新型動態二進制加密網站工具。目前已經有6個版本。對于webshell的網絡流量側檢測,主要有三個思路。一:webshell上傳過程中文件還原進行樣本分析,檢測靜態文件是否報毒。二:webshell上線或建立連接過程的數據通信流量。三:webshell已連接后執行遠程控制命令過程的數據通信流量。本文通過分析多個歷史冰蝎版本及五種腳本(asp|aspx|jsp|jspx|php),結合第二點檢測冰蝎上線的靜態特征,并總結部分snort規則。
冰蝎通訊原理
冰蝎采用AES加密,很多文章已有介紹,并有對應解密腳本,這里不再贅述。
冰蝎上線數據包
V1.0版本冰蝎連接
抓取到的通信流量如下:

Content-Type: application/octet-stream表示以二進制流傳輸數據。GET請求體返回16位大小寫字母或數字。
V1.1版本冰蝎連接

冰蝎工具從V1.1開始(包含V1.1)新增隨機UserAgent支持,每次會話會從17種常見UserAgent中隨機選取。這個版本的pass 與其他版本不同,pass(密碼) 后跟10位數字。
V2.0.1版本冰蝎連接
php shell上線數據包

asp shell 上線數據包

特殊的數據包
特殊包類型一
僅在php shell 上線時發現。測試版本 V2.0和V2.0.1
php shell上線時會產生兩個POST請求和響應。第一個POST 響應無響應體,第二個POST響應有響應體。這里需要額外寫snort判斷。用flowbits 設置多包聯合檢測。
第一個POST響應

第二個POST響應

特殊包類型二
有兩條很久以前抓的冰蝎包,寫的snort一直匹配不上,忘了是哪個版本。仔細一看,居然沒有Content-Length字段。php shell 上線,GET響應居然無強特征 ”Content-Length: 16,查資料說如果是 chunked 加密的,可能就不顯示這個content-length字段了。這個特殊類型我選擇性忽視。

下面也是php GET響應 無強特征 “Content-Length: 16″,看上去多了幾個字符,是顯示的問題,其實并沒有多。

靜態特征
弱特征1:密鑰傳遞時URL參數
 

"\.(php|jsp|asp|jspx|aspx)\?\w{1,8}=\d{1,10}HTTP/1\.1" 
這里 \w{1,8} 表示密碼的長度,可根據實際需求及探針性能調整。\d{1,10} 表示密碼后面跟的數字長度,為了兼容V1.0和V1.1,用1-10。如果只檢測V2.1版本,可以調整為 \d{2,3}。
弱特征2:加密時的URL參數
在加密通訊過程中,沒有URL參數。是的,沒有參數本身也是一種特征。
"\.(php|jsp|asp|jspx|aspx) HTTP/1.1"
本文暫未使用此特征。
強特征3:Accept字段(可繞過)
Accept是HTTP協議常用的字段,但冰蝎默認Accept字段的值卻很特殊,這個特征存在于冰蝎的任何一個通訊階段。
Accept: text/html,image/gif, image/jpeg, *; q=.2, */*;q=.2
冰蝎支持自定義HTTP Header,因此該特征可以被繞過。
可以針對此特征做專門的檢測,因為大多數人都沒有修改Accept 習慣。
本文暫未使用此特征。
強特征4:UserAgent字段(可繞過)
冰蝎工具從V1.1開始(包含V1.1)新增隨機UserAgent支持,每次會話會從17種常見(較老)UserAgent中隨機選取。
如果發現歷史流量中同一個源IP訪問某個URL時,命中了以下列表(下載地址)中多個UserAgent,那基本確認就是冰蝎了。
大多數人都沒有修改Accept 習慣。但冰蝎支持自定義UA,該特征可以被繞過。
本文暫未使用此特征。
強特征5:傳遞的密鑰
加密所用密鑰是長度為16的隨機字符串,大小寫字母+數字組成。密鑰傳遞階段,密鑰存在于get請求的響應體中。需要劃重點的是,不管哪種冰蝎腳本的shell,上線過程客戶端都是要與服務器商量2次密碼的,也就是會發2個get請求,并返回2次 16位的key。

因此密鑰特征如下:
"\r\n\r\n[A-Za-z0-9]{16}$"
還有一個特征,get請求響應體長度一定是16位的。
"Content-Length: 16"
弱特征6:加密數據上行
jsp|php|jspx 加密數據上行特征如下:

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 加拿大快乐8平台 新快三最新开奖结果 彩票26选5什么时候开奖 股票融资偿还额啥意思 黑龙江体彩11选5推荐号码 天天棋牌游戏官方下 …? 免费下载福州麻将 新11选5 任选8 云南快乐十分 正规棋牌房卡代理 市快乐十分钟开 彩票开奖结果深圳风采 7m足球即时比分 天津11选5投注网站 pk10定位3码全 微乐麻将下载手机版