.php:
eval_xor_base64加密格式下连接时会发送三个数据包:
首包post数据挺大,返回包内容为空。且包中的eval函数和base64加密函数挺明显
剩下两个包请求体小,一个返回数据为加密后的ok,最后一个是返回加密后目标的基本环境信息。
发送的数据包请求体特征为两个参数pass=和key=,这两个参数应该是对应木马生成时设置的密码和密钥。
特征总结(使用的狐狸说安全的哥斯拉工具):
1.User-Agent字段(弱特征),如果采用默认的情况,会暴露使用的jdk信息。不过哥斯拉支持自定义HTTP头部,这个默认特征是可以很容易去除的。(抓取的流量中该特征已经更改)
2. Accept字段(弱特征),默认是Accept:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2。同上,这个也可修改,只能作为辅助检测的特征。(抓取的流量中该特征已更改为:Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8)
3. Cookie中有一个非常关键的特征,最后会有个分号。估计后续的版本会修复。(该特征未更改)
4. 响应体的数据有一定特征,哥斯拉会把一个32位的md5字符串按照一半拆分,分别放在base64编码的数据的前后两部分。整个响应包的结构体征为:md5前十六位+base64+md5后十六位。
xor_RAW加密格式:
php中xor_RAW加密格式的流量更加隐蔽,全部是不可识别的字符
连接时一样会发送三个数据包,且后两个数据包比默认的base64加密方式简短很多,且乱码。数据包中看不出参数与密钥对应结构是多少。
特征除了乱码外,与eval_xor_base64一样。
1.User-Agent字段(弱特征),如果采用默认的情况,会暴露使用的jdk信息。不过哥斯拉支持自定义HTTP头部,这个默认特征是可以很容易去除的。(抓取的流量中该特征已经更改)
2. Accept字段(弱特征),默认是Accept:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2。同上,这个也可修改,只能作为辅助检测的特征。(抓取的流量中该特征已更改为:Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8)
3. Cookie中有一个非常关键的特征,最后会有个分号。估计后续的版本会修复。(该特征未更改)
xor_base64加密方式:
基本特征不变:连接时发送三个数据包,首包请求体较大,后两个包请求体较小,请求体中参数名称就是生成时设置的pass。
后两个数据包比默认的base64加密方式简短很多。
1.User-Agent字段(弱特征),如果采用默认的情况,会暴露使用的jdk信息。不过哥斯拉支持自定义HTTP头部,这个默认特征是可以很容易去除的。(抓取的流量中该特征已经更改)
2. Accept字段(弱特征),默认是Accept:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2。同上,这个也可修改,只能作为辅助检测的特征。(抓取的流量中该特征已更改为:Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8)
3. Cookie中有一个非常关键的特征,最后会有个分号。估计后续的版本会修复。(该特征未更改)
4. 响应体的数据有一定特征,哥斯拉会把一个32位的md5字符串按照一半拆分,分别放在base64编码的数据的前后两部分。整个响应包的结构体征为:md5前十六位+base64+md5后十六位。
总结:
1.User-Agent字段(弱特征),如果采用默认的情况,会暴露使用的jdk信息。不过哥斯拉支持自定义HTTP头部,这个默认特征是可以很容易去除的。(抓取的流量中该特征已经更改)
2. Accept字段(弱特征),默认是Accept:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2。同上,这个也可修改,只能作为辅助检测的特征。(抓取的流量中该特征已更改为:Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8)
3. Cookie中有一个非常关键的特征,最后会有个分号。估计后续的版本会修复。(该特征未更改)
4. 响应体的数据有一定特征,哥斯拉会把一个32位的md5字符串按照一半拆分,分别放在base64编码的数据的前后两部分。整个响应包的结构体征为:md5前十六位+base64+md5后十六位。
5.基本上无论哥斯拉生成的什么语言的木马(php,asp,jsp,cs),连接时都是发送三个数据包,第一个数据包请求体明显大量,后两个明显较小,且第二个数据包返回内容为加密后的ok,第三个数据包返回内容为目标的基本环境信息。
6.哥斯拉流量中除了xor_raw加密方式(该方式流量中全是乱码),基本上都会呈现出形如pass=WwSelqL9JENiXyh3的格式,该格式下参数名为生成木马时设置的pass。xor_raw外的一些加密方式(eval_base64)会在流量中看出eval和base64加密函数。