Webshell管理工具的流量特征
目录
一、常见Webshell工具流量特征
1. 中国菜刀(Chopper)
2. 冰蝎(Behinder)
3. 哥斯拉(Godzilla)
4. 蚁剑(AntSword)
5. C99 Shell
6. Weevely
7. 隐蔽通道(DNS/ICMP)
二、通用检测方法
1. 流量异常分析
2. 加密流量识别
3. 行为特征
三、防御策略
1. 技术层面
2. 管理层面
3. 应急响应
四、总结
一、常见Webshell工具流量特征
1. 中国菜刀(Chopper)
- 特征:
- 参数固定:如
z0、z1、z2。 - Base64编码:参数值经过Base64编码。
- 固定UA:
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)。
- 参数固定:如
- 检测规则:
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Chopper Activity"; content:"z0="; http_client_body;)
2. 冰蝎(Behinder)
- 特征:
- AES加密:动态密钥加密,内容为二进制流。
- Content-Type:
application/octet-stream。 - WebSocket协议:使用长连接通信。
- 检测规则:
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Behinder Activity"; content:"application/octet-stream"; http_content_type;)
3. 哥斯拉(Godzilla)
- 特征:
- 强加密:AES/RSA加密,密钥协商复杂。
- 随机参数名:如
k=abc123,每次请求不同。 - 分块传输:
Transfer-Encoding: chunked。
- 检测规则:
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Godzilla Activity"; content:"Transfer-Encoding: chunked"; http_header;)
4. 蚁剑(AntSword)
- 特征:
- UA标识:部分版本UA含
AntSword。 - 插件编码:Base64或ROT13编码。
- 路径特征:访问
/api/command。
- UA标识:部分版本UA含
- 检测规则:
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"AntSword Activity"; content:"AntSword"; http_user_agent;)
5. C99 Shell
- 特征:
- 明文传输:参数如
pass=...&cmd=...。 - 固定文件名:如
c99.php。
- 明文传输:参数如
- 检测规则:
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"C99 Activity"; content:"pass="; http_client_body;)
6. Weevely
- 特征:
- 参数名固定:如
weevely=...。 - 简单加密:XOR或替换加密。
- 参数名固定:如
- 检测规则:
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Weevely Activity"; content:"weevely="; http_client_body;)
7. 隐蔽通道(DNS/ICMP)
- 特征:
- DNS隧道:高频请求非常规域名(如
data.attacker.com)。 - ICMP载荷:异常ICMP包大小和频率。
- DNS隧道:高频请求非常规域名(如
- 检测规则:
alert dns $HOME_NET any -> any any (msg:"DNS Tunnel"; dns_query; content:".attacker.com"; nocase;)
二、通用检测方法
1. 流量异常分析
- 高频请求:短时间内大量POST请求。
- 参数异常:超长参数名/值(如 >1KB)。
- 非常用端口:HTTP流量出现在8080、8443等端口。
2. 加密流量识别
- 固定长度数据包:加密Payload长度一致。
- 密钥协商请求:如
key=...参数。
3. 行为特征
- 敏感操作:命令如
cmd=whoami、func=exec。 - 路径可疑:如
/uploads/shell.php。
三、防御策略
1. 技术层面
- WAF规则:拦截含
z0=、application/octet-stream的请求。 - HTTPS解密:对内部流量进行中间人解密检查。
- 文件监控:禁止上传
.php、.jsp等可执行文件。
2. 管理层面
- 访问控制:限制上传目录执行权限。
- 日志审计:分析异常UA、高频请求和敏感路径访问。
- 沙箱检测:自动扫描上传文件的恶意代码。
3. 应急响应
- 隔离主机:发现入侵后立即断网。
- 溯源分析:通过流量日志定位攻击入口。
- 漏洞修复:修补被利用的漏洞(如SQL注入、文件上传)。
四、总结
Webshell流量特征因工具而异,但通常包含加密、固定参数或异常协议等行为。通过结合特征检测和行为分析,可有效识别攻击。防御需多层联动,从流量监控到文件管理,形成完整防护体系。
防御核心:早发现、早阻断、早溯源。