文章目錄
- 蟻劍、冰蝎、哥斯拉
- 一、蟻劍(AntSword)流量特征
- 二、冰蝎(Behinder)流量特征
- 三、哥斯拉(Godzilla)流量特征
- metasploit、cobaltstrike
- 一、Metasploit流量特征
- 二、CobaltStrike流量特征
- 三、檢測與防御建議
- 1. 檢測方法
- 2. 防御策略
- 四、總結
本文僅用于技術研究,禁止用于非法用途。
蟻劍、冰蝎、哥斯拉
一、蟻劍(AntSword)流量特征
-
基礎請求特征
- 蟻劍:
@ini_set$"display_errors","0"$、_0x[A-Fa-f0-9]+ - User-Agent標識:默認User-Agent為antsword/xxx,但可通過修改代碼偽裝為瀏覽器(如Opera、Chrome等)。
- 參數名特征:加密后的參數名通常以_0x開頭(如_0x1234=加密數據),這是其混淆后的典型標識。
- 代碼片段:請求體中存在固定PHP代碼片段,如@ini_set(“display_errors”,“0”);@set_time_limit(0),用于關閉錯誤顯示和超時限制。
- 蟻劍:
-
加密與編碼
- 默認編碼:支持Base64、Chr、ROT13等多種編碼,未加密時流量明文可見eval或assert函數調用。
- 響應特征:返回數據通常被隨機字符串包裹(如a1cc2fb143b…d7ef08da),用于混淆真實輸出。
-
行為特征
- 高頻重傳:因網絡不穩定或虛擬機性能問題,可能觸發TCP數據包重傳,需結合上下文判斷。
二、冰蝎(Behinder)流量特征
- 協議與加密特征
- 冰蝎:application/octet-stream、e45e329feb5d925b。
- 動態密鑰協商:冰蝎2.0通過GET/POST請求協商密鑰(如/shell.jsp?pass=密鑰),使用AES+Base64加密傳輸數據;冰蝎3.0后取消動態密鑰,改用固定密鑰(默認e45e329feb5d925b)。
- Content-Type標識:冰蝎3.0及以上版本請求頭中Content-Type常為application/octet-stream,標識二進制流傳輸。
- 請求頭特征
- User-Agent隨機化:內置16個老舊UA頭(如Mozilla/4.0),每次連接隨機選擇,易被識別為異常流量。
- Accept字段:默認值為application/json, text/javascript, /; q=0.01,屬于弱特征。
- 固定代碼與端口特征
- 服務端代碼:PHP Webshell中包含
$post=Decrypt(file_get_contents("php://input")); eval($post);,JSP版本使用長端口號(如49700附近)遞增連接。
- 服務端代碼:PHP Webshell中包含
三、哥斯拉(Godzilla)流量特征
哥斯拉:;[ \t]*$(Cookie末尾分號)、[A-Fa-f0-9]{16}[A-Za-z0-9+/=]+[A-Fa-f0-9]{16}。
行為分析:監控User-Agent頻繁變化、異常端口(如49700)、長連接請求等。
- 強特征標識
- Cookie異常:請求Cookie末尾常帶多余分號(如
JSESSIONID=xxx;),不符合HTTP標準。 - 響應體結構:返回數據采用Base64編碼時,前后拆分32位MD5值(如md5前16位+Base64數據+md5后16位),PHP版本為小寫MD5,Java版本為大寫。
- Cookie異常:請求Cookie末尾常帶多余分號(如
- 請求與加密特征
- 默認User-Agent:暴露JDK版本(如Java/1.8.0_121),但支持自定義。
- 加密模式:支持AES、XOR、RAW等多種加密,請求體可能包含XORHEAD和XORBODY標記。
- 行為與連接特征
- 長連接:默認啟用Connection: Keep-Alive,減少握手開銷。
- 初始化流量:首次連接發送大體積數據包(用于密鑰協商),后續請求攜帶固定Cookie。
metasploit、cobaltstrike
以下是 Metasploit 和 CobaltStrike 作為C2遠控服務器的漏洞特征與流量特征分析,結合其通信機制、檢測要點及防御建議:
一、Metasploit流量特征
Metasploit 是一款開源的滲透測試框架,由 HD Moore 等人于 2003 年開發,基于 Ruby 語言構建。其核心功能是 ??漏洞利用開發與測試??,集成了超過 750 種已知漏洞的利用模塊(如 SMB、Web 應用漏洞)和 224 種攻擊載荷(Payload),覆蓋從掃描到后滲透的全流程
- 協議與通信機制
- 協議類型:主要基于 TCP協議(默認端口4444)或HTTP(S)協議,常用于Meterpreter會話的實時交互。
- Staged/Stageless模式:
- Staged模式:通過小型Stager(如windows/meterpreter/reverse_tcp)下載完整Payload,流量中存在 分階段下載行為(如HTTP GET請求下載加密Payload)。
- Stageless模式:單文件直接建立會話,流量中無額外下載過程,但Payload體積較大,易觸發靜態特征檢測。
- 流量檢測特征
- TCP端口交互:會話建立后,常存在兩個端口持續交互(如9999與57591),流量中可見 MZ標頭和DOS模式異常(非標準協議數據包結構)。
- HTTP請求特征:
- 路徑包含動態參數(如/index.php?cmd=xxx),或直接調用/meterpreter等敏感路徑。
- 響應包中可能包含 加密的Meterpreter指令(如migrate注入進程、hashdump提取憑據)。
- 進程注入行為:通過rundll32.exe或svchost.exe注入惡意代碼,系統日志(如Sysmon)會記錄 CreateRemoteThread事件 和異常父進程關系。
- 檢測規則示例
- Suricata規則:
alert tcp any any -> any 4444 (msg:"Metasploit Meterpreter TCP Session"; sid:10001;)
alert http any any -> any any (msg:"Metasploit Stager Download"; content:"/meterpreter"; http_uri; sid:10002;)
二、CobaltStrike流量特征
Cobalt Strike 是一款商業化的高級滲透測試工具,專為 ??紅隊協作?? 和 ??APT 模擬?? 設計。其核心功能是 ??后滲透控制??,通過 Beacon 代理實現內網橫向移動、權限維持和隱蔽通信
- HTTP/S通信特征
- HTTP-staging模式:
- 路徑校驗規則:請求路徑(如/Yle2)的 ASCII碼之和與256取余等于92(即checksum8規則)。
- 心跳包規律:每隔固定時間(如3秒)發送GET請求,Cookie字段攜帶Base64加密的會話元數據。
- 命令下發與回傳:任務指令通過HTTP響應包中的加密內容傳遞,執行結果以POST請求回傳(Cookie或Body加密)。
- HTTPS特征:
- 默認證書指紋:使用空證書或自簽名證書,JA3/JA3S指紋固定(如72a589da586844d7f0818ce684948eea)。
- Malleable C2 Profile:可自定義User-Agent、路徑和證書,但默認配置下仍可能暴露特征(如/dpixel、/__utm.gif路徑)。
- DNS通信特征
- DNS-stageless模式:
- 上線請求:通過A記錄查詢(如www6.<域名>)發送16進制編碼的靶機信息,C2響應0.0.0.0確認。
- 命令下發:使用TXT記錄傳遞加密Payload,響應IP地址為非常規值(如0.0.0.243)。
- 結果回傳:通過post.<域名>的A記錄查詢回傳數據,DNS流量中可見高頻異常請求。
- 檢測規則示例
- Suricata規則:
alert http any any -> any any (msg:"CobaltStrike Checksum8 Path"; content:"/Yle2"; http_uri; pcre:"/^\/[A-Za-z0-9]{4}$/"; sid:20001;)
alert dns any any -> any any (msg:"CobaltStrike DNS Beacon"; content:"www6."; depth:5; sid:20002;)
三、檢測與防御建議
1. 檢測方法
- 流量分析:
- 監控HTTP路徑的checksum8規則、固定心跳間隔、異常DNS請求等特征。
- 識別JA3/JA3S指紋或自簽名證書的異常使用。
- 日志溯源:
- 通過Sysmon日志追蹤異常進程創建(如artifact.exe啟動rundll32.exe注入)和網絡連接事件。
2. 防御策略
- 框架加固:
- 升級至Metasploit/CobaltStrike最新版本,禁用默認配置(如更換證書、修改默認端口)。
- 使用Malleable C2 Profile自定義流量特征,規避靜態規則檢測。
- 網絡防護:
- 部署WAF攔截包含checksum8路徑、異常Cookie或DNS記錄的請求。
- 限制非業務端口的出站流量(如4444、53、80/443外的非常用端口)。
四、總結
- Metasploit:依賴TCP端口交互和進程注入行為,檢測需關注日志中的異常線程創建與協議特征。
- CobaltStrike:HTTP流量的checksum8規則和DNS流量的異常記錄是核心檢測點,防御需結合動態流量分析與協議層指紋識別。
如需更詳細的技術實現(如Suricata規則集或Sysmon配置),可參考中的開源項目與案例分析。
注:本文遵循CSDN社區內容規范,不涉及具體攻擊實現,重點探討防御方法論。
)
如何使用DROP TABLE刪除表?)
