​冰蝎(Behinder)特征分析

admin 2024年2月16日11:24:30评论27 views字数 1859阅读6分11秒阅读模式

冰蝎(Behinder)简介

冰蝎可是D某最喜爱的webshell连接工具;Behinder的加密流量威胁,剖析其通信原理,冰蝎的通信过程可以分为两个阶段:密钥协商以及加密传输。

第一阶段:密钥协商

1、 攻击者通过 GET 或者 POST 方法,形如http://127.0.0.1/shell.php?cmd=645 的请求服务器密钥;

2服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。第二阶段-加密传输

1 、 客户端把待执行命令作为输入,利用AESXOR 运算进行加密,并发送至服务端;

2 、 服务端接受密文后进行 AES XOR 运算解密,执行相应的命令;

3 、 执行结果通过AES加密后返回给攻击者。

​冰蝎(Behinder)特征分析

流量特征Accept字段:Behinder在通信过程中通常会携带accept以下字段;Accept: application/json, text/javascript, */*; q=0.01

​冰蝎(Behinder)特征分析

流量特征Content-type字段:Content-type: application/x-www-form-urlencoded

​冰蝎(Behinder)特征分析

流量特征User-Agent字段:Behinder设置了10ua头,每次连接webshell时会随机选择其中一个ua头进行使用

​冰蝎(Behinder)特征分析

流量特征长连接:Behinder通讯默认使用长连接,避免频繁的握手导致资源开销。默认情况下,请求头和响应头里会有Connection: Keep-Alive

​冰蝎(Behinder)特征分析

流量特征固定的请求头和响应头

phpshell默认default_xor_base64协议加密流量特征,请求头为

​冰蝎(Behinder)特征分析

响应头

​冰蝎(Behinder)特征分析

Default_aes协议加密流量特征,请求字节头:m7nCS8n4OZG9akdDlxm6OdJevs/jYQ5/IcXK    响应头:mAUYLzmqn5QPDkyI5lvSp6DmrC24FW39Y4YsJhUqS7

流量特征连接密码
默认所有冰蝎4.* webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond

冰蝎4.0 内置10种User-Agent请求头

"Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36",
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0",
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36",
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36 Edg/99.0.1150.55",
"Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36",
"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0",
"Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36",
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36",
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0",
"Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko"

原文始发于微信公众号(无知名安全):​冰蝎(Behinder)特征分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月16日11:24:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ​冰蝎(Behinder)特征分析https://cn-sec.com/archives/2245789.html

发表评论

匿名网友 填写信息