针对之前的优化,之前的流量几乎可以通过一个通用特征进行发现,其实我也有点疑惑为什么原作者不采用统一的加密方式,apsx居然只有一个aes加密。
aspx
原版本居然只有aes加密,不明白为什么如此做?
就像上面的截图一样,其实可以100%查杀流量特征的,基于之前的问题,修改了加密算法,采用三层加密+一层混淆加密,尽力完成动态的效果,只能说目前我不知道该怎么去捕获这种特征:
即使一些设备开启自动解包,也无法解密这种流量,这其实不是base64加密,base64加密之上还加了一层混淆的东西。
这就意味着之前兼容原版冰蝎将不会再支持了,只能修改或者使用这种加密方式的webshell,目前运用到了aspx,jsp,php上面。
返回和请求包的加密上面进行了统一化。
加密方式:
aes128==>hex===>base64===>confuse
解密方式:
confuse==>base64===>hex===>aes128
希望对大家有所帮助。
长按关注我们吧
原文始发于微信公众号(bytecode11):流量特征
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论