针对之前的优化,之前的流量几乎可以通过一个通用特征进行发现,其实我也有点疑惑为什么原作者不采用统一的加密方式,apsx居然只有一个aes加密。
aspx
原版本居然只有aes加密,不明白为什么如此做?
就像上面的截图一样,其实可以100%查杀流量特征的,基于之前的问题,修改了加密算法,采用三层加密+一层混淆加密,尽力完成动态的效果,只能说目前我不知道该怎么去捕获这种特征:
即使一些设备开启自动解包,也无法解密这种流量,这其实不是base64加密,base64加密之上还加了一层混淆的东西。
这就意味着之前兼容原版冰蝎将不会再支持了,只能修改或者使用这种加密方式的webshell,目前运用到了aspx,jsp,php上面。
返回和请求包的加密上面进行了统一化。
加密方式:
aes128==>hex===>base64===>confuse
解密方式:
confuse==>base64===>hex===>aes128
希望对大家有所帮助。
长按关注我们吧
原文始发于微信公众号(bytecode11):流量特征
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论