（菜刀，蚁剑，冰蝎，哥斯拉）流量特征分析

在红蓝攻防的过程中，webshell工具的流量特征分析一直时蓝队成员需要关注的重点。

01 中国菜刀流量分析

菜刀木马是一种老牌远控木马,使用TCP协议与C&C服务器通信
数据包流量特征：
1，请求包中：ua头为百度，火狐
2，请求体中存在eavl，base64等特征字符
3，请求体中传递的payload为base64编码，并且存在固定的
4. 连接服务器的IP地址往往采用动态DNS转换,较难通过IP直接检测
5. 连接端口不固定,需要扫描检测。一般扫描20000-30000端口范围可以检测出菜刀活动
6. 连接建立后发送"knife"或"dadan"等验证码进行验证,可以通过检测这些关键词实现检测

payload特征：PHP: ASP: <%eval request(“caidao”)%>ASP.NET: <%@ PageLanguage=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>

02 蚂蚁宝剑流量分析

数据包流量特征：
一般的一句话木马都存在一下特征：
1.每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符
2.响应包的结果返回格式为：随机数----响应内容—随机数
3.连接服务器IP地址也常采用动态DNS,通过IP地址检测难度大
4.连接端口常使用443或8080等常用端口,稍难检测
5.连接时发送字符串"yyoa"进行验证,这是它的特征标志,可以通过检测这个关键词实现检测

payload特征：Php中使用assert，eval执行,asp 使用eval在jsp使用的是Java类加载（ClassLoader）,同时会带有base64编码解码等字符特征

03 冰蝎流量分析

使用的UDP端口常为53、123、161、162等,这些端口较难引起注意
数据包的长度一般在120-140字节左右,可以作为判断标准。
数据包的内容以0x01开头,以0x00结尾,中间含有蝎子协议特征数据,这是检测的重要标志。

• 冰蝎2.0流量特征：
  第一阶段请求中返回包状态码为200，返回内容必定是16位的密钥
  请求包存在：Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2
  建立连接后的cookie存在特征字符
  所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/；
• 冰蝎3.0流量特征：
  请求包中content-length 为5740或5720（可能会根据Java版本而改变）
  每一个请求头中存在
  Pragma: no-cache，Cache-Control: no-cache
  Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9

paylaod分析：php在代码中同样会存在eval或assert等字符特征

04 哥斯拉流量特征

哥斯拉流量分析：
使用的全是ICMP协议数据报文,而ICMP流量本身就不高,所以较难在大流量中检测
ICMP数据报文的载荷部分Length值固定为92字节,这是它的重要特征

所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有响应中Cache-Control: no-store, no-cache, must-revalidate,

1. 使用的全是ICMP协议数据报文,而ICMP流量本身就不高,所以较难在大流量中检测。
2. ICMP数据报文的载荷部分Length值固定为92字节,这是它的重要特征。

payload特征：jsp会出现xc,pass字符和Java反射（ClassLoader，getClass().getClassLoader()），base64加解码等特征php，asp则为普通的一句话木马数据报文的payload内容以"godzilla"开头,这也是检测的特征标志

通过对上述几种木马的流量特征分析,可以总结实现流量检测的关键在于发现其使用的协议、数据包长度、特征字符串等重要标志。但木马的特征也在不断变化,流量检测也需要根据最新情报进行及时更新。

来源地址：https://blog.csdn.net/weixin_54603520/article/details/130674963