蚁剑、冰蝎、哥斯拉流量特性分析

蚁剑流量特征分析

设置代理

蚁剑webshell静态特征

• 蚁剑中php使用assert、eval执行；
• asp只有eval执行；
• 在jsp使用的是Java类加载（ClassLoader），同时会带有base64编码解码等字符特征。

蚁剑webshell动态特征

使用一句话木马上传webshell，抓包后会发现每个请求体都存在以 @ini_set("display_errors","0");@set_time_limit(0) 开头。并且后面存在 base64 等字符

响应包的结果返回格式为：

• 随机数
• 响应内容
• 随机数

冰蝎流量特征分析

设置代理

payload分析

• php在代码中同样会存在 eval 或 assert 等字符特征
  

• 在aps中会在for循环进行一段异或处理
  

• 在jsp中则利用java的反射，所以会存在 ClassLoader、getClass().getClassLoader() 等字符特征
  

冰蝎4.0流量特征

1. Accept

   Accept: application/json, text/javascript, */*; q=0.01
   

   意思是浏览器可接受任何文件，但最倾向application/json 和 text/javascript。

   

2. Content-Type
   PHP站点：

   Content-type: Application/x-www-form-urlencoded
   

   ASP站点：

   Application/octet-stream
   

   可以把这个字段作为一个弱特征，辅助其他特征来检测

   

3. User-agent 字段
   冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。
   
   

4. 响应头字段

   Set-Cookie: PHPSESSID=a59734f13f1fe73947e0b3b01ea2aabe; path=/
   Pragma: no-cache
   

   

哥斯拉流量特征

哥斯拉支持多种加密方式，采用了和冰蝎 2.0 类似的密钥交换方式。它的webshell需要动态生成，可以根据需求选择不同的加密方式。

设置代理

哥斯拉静态特征

在默认脚本编码的情况下，jsp会出现xc、pass字符和Java反射(ClassLoader，getClass().getClassLoader())，base64加解码等特征。
php、asp则为普通的一句话木马

哥斯拉动态特征

1. 请求头Accept

   Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
   

   
2. 响应头Cache-Control

   Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
   

   
3. Cookie
   Cookie中有一个非常关键的特征，最后会有个分号