冰蝎、菜刀、蚁剑、哥斯拉流量特征
菜刀:ASP语言编写的 Windows 远控管理软件,年代比较久,鼻祖级别的,曾经风靡一时,现已经逐渐被其他三个所取代
链接:https://pan.baidu.com/s/1Kg_U9fJJL5wrlmIN69H8_g
提取码:23ss
冰蝎:基于 Java 编写,有跨平台特性,流量动态加密(AES128 + 随机密钥)
链接:https://pan.baidu.com/s/1tyrXUC1Os0XI15WSYsCcKg
提取码:23ss
哥斯拉:基于C#编写,流量加密能过大部分静态查杀和WAF(查杀和WAF也在更新,随时就可能不行了),自带的各种插件功能异常强大
链接:https://pan.baidu.com/s/1ZBQzLoNi6_6QJKwafPDK2A
提取码:23ss
蚁剑:基于Java编写跨平台远控管理工具,模块化开发,代码简单易懂,可扩展性强
链接:https://pan.baidu.com/s/18wCOWXddVm9nDFsFpRvhJQ
提取码:23ss
冰蝎、菜刀、蚁剑、哥斯拉的流量特征
菜刀:
流量特征主要表现在HTTP协议上,使用HTTP协议通信,控制命令和数据都通过POST请求传输。因此,可以通过HTTP请求头中的User-Agent、Referer等信息进行识别,存在eval这种明显的特征。
使用了base64的方式加密了发送给“菜刀马”的指令,其中的两个关键payload z1和z2,这个名字是可变的。
蚁剑:
流量特征主要表现在数据包的加密方式和数据类型。蚁剑使用了AES加密算法对数据进行加密,同时还使用了自定义的二进制协议,存在eval这种明显的特征。
在通信中传输各种类型的数据 默认的USER-agent请求头 是 antsword xxx,但是 可以通过修改:/modules/request.js 文件中 请求UA绕过
其中流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有webshell客户端链接PHP类Webshell都有的一种代码
蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以"_0x"这种形式,所以以_0x开头的参数也很可能就是恶意流量
蚁剑挂代理
使用burp抓包
url解码(Shift+Ctrl+u)
冰蝎:
流量特征主要表现在数据包中的特殊标记和传输的数据类型。冰蝎的数据包中包含了特定的标记,如"flag=0x52415631",用于标识该数据包是冰蝎的控制命令。此外,冰蝎还使用了一种自定义的二进制协议,在通信中传输各种类型的数据 看包没有发现什么特征,但是可以发现它是POST请求的appication/xhtm1+xmlapplication/xmlapplication/signe
1、Accept头有d-exchange属于弱特征 (UA头的浏览器版本很老)
2、特征分析Content-Type: application/octet-stream 这是-个强特征查阅资料可知octet-stream的意思是,只能提交二进制,如果提交文件的话,只能提交一个文件,后台接收参数只能有一个,而且只能是流(或者字节数组) ;
冰蝎2特征 默认Accept字段的值很特殊,而且每个阶段都一样冰蝎内置了十余种userAgent ,每次连接 shell会随机选择一个进行使用。但都是比较老的,容易被检测到,但是可以在burp中修改ua头Content-Length:16,16就是冰蝎2连接的特征
冰蝎3特征 冰蝎3取消动态密钥获取,目前很多waf等设备都做了冰蝎2的流量特征分析,所以3取消了动态密钥获取;php抓包看包没有发现什么特征,但是可以发现它是POST请求的
Accept头 application/xhtm1+xmlapplication/xmlapplication/signed- exchange属于弱特征
ua头该特征属于弱特征。通过burp可以修改
冰蝎3.0内置的默认16个userAgent都比较老。作为waf规则特征 jsp抓包特征分析Content-Type: application/octet-stream 这是一个强特征
octet-stream的意思是,只能提交二进制,而且只能提交一个二进制,如果提交文件的话,只能提交 一个文件后台接收参数只能有一个,而且只能是流(或者字节数组)
哥斯拉:
流量特征主要表现在数据包的特殊标记和数据类型。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。
此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据
哥斯拉中使用大量的“ ; ”。