冰蝎(Behinder)简介
冰蝎可是D某最喜爱的webshell连接工具;Behinder的加密流量威胁,剖析其通信原理,冰蝎的通信过程可以分为两个阶段:密钥协商以及加密传输。
第一阶段:密钥协商
1、 攻击者通过 GET 或者 POST 方法,形如http://127.0.0.1/shell.php?cmd=645 的请求服务器密钥;
2、 服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。第二阶段-加密传输
1 、 客户端把待执行命令作为输入,利用AES或 XOR 运算进行加密,并发送至服务端;
2 、 服务端接受密文后进行 AES 或 XOR 运算解密,执行相应的命令;
3 、 执行结果通过AES加密后返回给攻击者。
流量特征Accept字段:Behinder在通信过程中通常会携带accept以下字段;Accept: application/json, text/javascript, */*; q=0.01
流量特征Content-type字段:Content-type: application/x-www-form-urlencoded
流量特征User-Agent字段:Behinder设置了10种ua头,每次连接webshell时会随机选择其中一个ua头进行使用
流量特征长连接:Behinder通讯默认使用长连接,避免频繁的握手导致资源开销。默认情况下,请求头和响应头里会有Connection: Keep-Alive
流量特征固定的请求头和响应头
phpshell默认default_xor_base64协议加密流量特征,请求头为
响应头
Default_aes协议加密流量特征,请求字节头:m7nCS8n4OZG9akdDlxm6OdJevs/jYQ5/IcXK 响应头:mAUYLzmqn5QPDkyI5lvSp6DmrC24FW39Y4YsJhUqS7
流量特征连接密码
默认所有冰蝎4.* webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
冰蝎4.0 内置10种User-Agent请求头
"Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36",
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0",
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36",
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36 Edg/99.0.1150.55",
"Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36",
"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0",
"Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36",
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36",
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0",
"Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko"
原文始发于微信公众号(无知名安全):冰蝎(Behinder)特征分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论