菜刀,蚁剑,冰蝎,哥斯拉流量特征

2023-12-24 17:52:23

01 中国菜刀流量分析

菜刀木马是一种老牌远控木马,使用TCP协议与C&C服务器通信
数据包流量特征:
1,请求包中:ua头为百度,火狐
2,请求体中存在eavl,base64等特征字符
3,请求体中传递的payload为base64编码,并且存在固定的
4. 连接服务器的IP地址往往采用动态DNS转换,较难通过IP直接检测
5. 连接端口不固定,需要扫描检测。一般扫描20000-30000端口范围可以检测出菜刀活动
6. 连接建立后发送"knife"或"dadan"等验证码进行验证,可以通过检测这些关键词实现检测

02 蚁剑流量分析

数据包流量特征:
一般的一句话木马都存在一下特征:
1.每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符
2.响应包的结果返回格式为:随机数----响应内容—随机数
3.连接服务器IP地址也常采用动态DNS,通过IP地址检测难度大
4.连接端口常使用443或8080等常用端口,稍难检测
5.连接时发送字符串"yyoa"进行验证,这是它的特征标志,可以通过检测这个关键词实现检测

03 冰蝎流量分析

使用的UDP端口常为53、123、161、162等,这些端口较难引起注意
数据包的长度一般在120-140字节左右,可以作为判断标准。
数据包的内容以0x01开头,以0x00结尾,中间含有蝎子协议特征数据,这是检测的重要标志。

  • 冰蝎2.0流量特征:
    第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥
    请求包存在:Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2
    建立连接后的cookie存在特征字符
    所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/;
  • 冰蝎3.0流量特征:
    请求包中content-length 为5740或5720(可能会根据Java版本而改变)
    每一个请求头中存在
    Pragma: no-cache,Cache-Control: no-cache
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9
paylaod分析:
php在代码中同样会存在eval或assert等字符特征

04 哥斯拉流量特征

哥斯拉流量分析:
使用的全是ICMP协议数据报文,而ICMP流量本身就不高,所以较难在大流量中检测
ICMP数据报文的载荷部分Length值固定为92字节,这是它的重要特征

所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有响应中Cache-Control: no-store, no-cache, must-revalidate,

  1. 使用的全是ICMP协议数据报文,而ICMP流量本身就不高,所以较难在大流量中检测。
  2. ICMP数据报文的载荷部分Length值固定为92字节,这是它的重要特征。
payload特征:
jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征
php,asp则为普通的一句话木马
数据报文的payload内容以"godzilla"开头,这也是检测的特征标志


?

文章来源:https://blog.csdn.net/2301_76786857/article/details/135183614
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。