流量特征

  • 中国菜刀流量分析
    中国菜刀:使用TCP协议与C&C服务器通信。
    流量特征
    1、请求包中:ua头为百度。火狐。短参数:如a=、c=、b=。吗
    2、请求体中存在eval、base64等特征字符。
    3、请求体中传递的payload为base64编码,并且存在固定的
    4、连接服务器的IP地址往往采用动态DNS转换。较难通过IP直接检测
    5、连接端口不固定,需要扫描检测。一般扫描20000-30000端口范围可以检测菜刀活动
    6、连接建立后发送“knife”或“dadan”等验证码进行验证,可以通过检测这些关键词实现检测
    7、&z0=QGluaVzZXQ...,该部分是传递攻击payload,此参数z0对应$_POST[z0]接收到的数据,该参数值是使用Base64编码的。
    8、存在cmd=这个格式。当连接到命令行时,执行whoami命令后,会响应响应包中返回明文信息。
  • 蚁剑流量分析
    流量特征(固定请求头、随机参数名、加密高熵payload、高频短链接)
    1、POST请求为主、每个请求体都存在@ini_set("dispaly_errors","0");@set_time_limit(0)开头。后面存在base64编码、异或加密等字符
    2、响应包的结果返回格式为:随机数——响应内容——随机数,返回数据可能是base64编码的命令结果、或JSON格式伪装(如{"data":"加密结果"})。
    3、连接服务器IP地址也常采用动态DNS,通过IP地址检测难度大
    4、连接端口常使用443或8080等常用端口,稍难检测。访问业务非常规路径。
    5、连接时发送字符串"yyoa"进行验证,特征标识。无cookie保持。蚁剑通常不依赖Session/Cookie维持会话,而是通过每次请求携带完整认证参数。
    6、请求参数随机化(_0x=...)形式(下划线可替代为其他)但参数值为base64编码的恶意指令(如命令执行、文件遍历)
    7、URL路径可能包含伪装的静态资源后缀(如/images/logo.jsp.php)
    8、蚁剑默认携带特殊HTTP头,含冗余参数;常见User-agent:可能硬编码
    9、短链接高频率:蚁剑操作(文件管理、命令执行)会触发密集的HTTP请求,每次请求对应一个动作,响应时间段(通常小于1秒)。
  • 冰蝎流量分析
    流量特征(AES对称加密)
    使用UDP端口通常为53、123、161、162等,这些端口较难引起注意。数据包长度一般在120-140字节左右,可以作为判断标准。数据包的内容以0x01开头,以0x00结尾,中间含有蝎子协议特征数据。
    3.0采用二进制协议进行通信,使用DES加密算法
    4.0采用HTTP协议进行通信,使用RC4加密算法。
    3.0版本及4.0版本:流量特征中请求的开头都是yc8MNtAHgYXhSjykK5u2E
  • 哥斯拉流量分析
    流量特征
    1、使用的全是ICMP协议数据报文,ICMP数据报文的载荷部分Length值固定为92字节。
    2、UA弱特征:所有请求中cookie中后面都存在特征";"。部分版本会使用固定UA(如Godzilla/x.y)。
    3、开头16位MD5结尾16位MD5,中间base64。
    4、HTTP请求头特征:
    User-Agent:默认 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/XX.XX.XX.XX Safari/537.36(可修改)。
    5、POST数据:数据经过AES加密,base64编码。请求体通常包含pass=xxx或data=xxx字段。
    6、URL参数可能包括_0X123456等随机参数名。id=xxx、key=xxx、每次请求可能不同。
    7、响应数据:返回数据同样加密,base64编码。大文件或长命令可能分多个请求发送,每个请求包含offset和length参数。
  • CS流量分析
    1、cookie通常包含sessionID或JsessionID
    2、URL路径默认/jquery-3.3.1.min.js、/pixel.gif等
    3、POST数据AES/RSA,通常Base64编码,数据包大小固定或规律(如4KB、8KB),少量数据包携带大量信息如base64编码的指令。
    4、心跳包发送固定大小请求。周期性短连接固定时间间隔。
    5、DNS Beacon特征:使用DNS TXT/AAAA查询进行C2通信。域名通常随机生成,查询频率固定。
    6、TLS特征:JA3/JA3S指纹可识别如默认配置的TLS版本、加密套件,证书信息可能包含cobalt Strike或者默认自签名证书。
    7、非标准端口:http使用除80以外的端口,https使用除443以外的端口。
    8、混合协议:利用DNS查询协议,ICMP隐蔽通道,http头部隐藏。或混淆c2指令
    9、突发性通信:长时间静默后突然出现大量外联流量,可能是攻击者激活恶意模块。
    10、使用免费域名或频繁更换解析IP、随机生成的域名、黑名单IP。

    如何检测流量分析:检查异常User-Agent、固定大小POST数据(pass=、data=),识别Base64编码的加密数据。
    高频固定间隔请求(Cobalt Strike心跳),URL路径(如/jquery-3.3.1.min.js)
    对冰蝎、哥斯拉流量尝试AES解密,利用威胁情报使用YARA规则匹配已知C2框架特征
posted @ 2025-02-26 17:57  予遂计划  阅读(180)  评论(0)    收藏  举报