Merlin Agent远控木马流量逃逸技术详解<\/h1>

概述<\/h2>

Merlin是一个功能强大的后渗透利用框架，其Agent组件内置了多种逃避流量检测的技术手段。本文将从技术原理和实操角度详细解析Merlin Agent的流量逃逸技术，包括：<\/p>

JA3指纹伪造技术<\/li>
浏览器模拟技术<\/li>
UserAgent自定义配置<\/li>
心跳包频率控制<\/li>

通信数据包混淆技术<\/li> <\/ol>

1. JA3指纹伪造技术<\/h2>

技术原理<\/h3>
JA3是一种基于SSL\/TLS握手过程的特征指纹技术，通过对客户端在建立SSL\/TLS连接时发送的数据进行哈希计算生成唯一指纹。Merlin Agent支持通过`-ja3<\/code>参数自定义配置JA3指纹。<\/p>`
`Merlin Agent的JA3指纹伪造功能基于对https:\/\/github.com\/CUCyber\/ja3transport\/<\/code>库的优化改造实现。<\/p>`

实操步骤<\/h3>

启动Merlin Server<\/li>
运行Merlin Agent并指定JA3指纹：
.\/merlinAgent -ja3 "771,4865-4866-4867-49196-49195-49188-49187-49162-49161-52393-49200-49199-49192-49191-49172-49171-52392-157-156-61-60-53-47-49160-49170-10,65281-0-23-13-5-18-16-11-51-45-43-10-21,29-23-24-25,0"
<\/code><\/pre>
<\/li>
捕获通信数据包验证JA3指纹<\/li>
<\/ol>
注意<\/strong>：目前只能使用ja3transport库中提供的JA3指纹值，直接从其他地方复制的JA3指纹可能导致TLS握手失败。<\/p>
2. 浏览器模拟技术<\/h2>
技术原理<\/h3>
Merlin Agent支持通过-parrot<\/code>参数模拟特定浏览器信息，底层基于https:\/\/github.com\/refraction-networking\/utls\/<\/code>库实现。该库可以模拟绝大部分情况下的JA3指纹。<\/p>
支持的浏览器模拟参数值包括：<\/p>

"chrome"<\/li>
"firefox"<\/li>
"safari"<\/li>
"ios"<\/li>
"android"<\/li>
"edge"<\/li>
"opera"<\/li>
<\/ul>
实操步骤<\/h3>

启动Merlin Server<\/li>
运行Merlin Agent并指定模拟浏览器：
.\/merlinAgent -parrot "chrome"
<\/code><\/pre>
<\/li>
捕获通信数据包验证JA3指纹hash值<\/li>
<\/ol>
模拟Chrome浏览器时，JA3指纹hash值应为b32309a26951912be7dba376398abc3b<\/code>（对应Chrome 83版本）。<\/p>
3. UserAgent自定义配置<\/h2>
技术原理<\/h3>
Merlin Agent支持通过-useragent<\/code>参数自定义HTTP通信的User-Agent值，默认值为：<\/p>
Mozilla\/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/40.0.2214.85 Safari\/537.36
<\/code><\/pre>
自定义UserAgent可实现：<\/p>

明文通信中模拟各类浏览器<\/li>
避免加密通信解密后发现UserAgent与JA3指纹不匹配<\/li>
<\/ul>
实操步骤<\/h3>

启动Merlin Server<\/li>
运行Merlin Agent并指定UserAgent：
.\/merlinAgent -useragent "自定义UserAgent字符串"
<\/code><\/pre>
<\/li>
捕获通信数据包验证HTTP UserAgent请求头<\/li>
<\/ol>
4. 心跳包频率控制<\/h2>
4.1 基础频率配置<\/h3>
Merlin Agent支持通过-sleep<\/code>参数自定义心跳包频率，默认值为30秒。<\/p>
技术原理<\/strong>：

Agent会根据-sleep<\/code>参数值周期性调用checkIn()<\/code>函数：<\/p>

首先进行身份认证并发送Agent基本信息<\/li>
然后按配置频率发送心跳包<\/li>
有指令时在心跳通信中返回指令，无指令时返回固定长度随机数据<\/li>
<\/ol>
实操步骤<\/strong>：<\/p>
.\/merlinAgent -sleep 10
<\/code><\/pre>
4.2 频率偏移配置<\/h3>
Merlin Agent支持通过-skew<\/code>参数配置心跳包频率偏移，默认值为3000（3秒）。<\/p>
技术原理<\/strong>：

心跳包实际发送时间计算公式：<\/p>
sleepTime = 基础频率 + (0至skew值之间的随机数)
<\/code><\/pre>
实操步骤<\/strong>：<\/p>
.\/merlinAgent -sleep 10 -skew 5000
<\/code><\/pre>
此时心跳包频率将在10-15秒之间波动。<\/p>
5. 通信数据包混淆技术<\/h2>
Merlin Agent支持通过-padding<\/code>参数自定义通信包的附加数据大小，默认值为4096。<\/p>
技术原理<\/strong>：<\/p>

生成0至-padding<\/code>值之间的随机数<\/li>
生成对应长度的随机字符串<\/li>
填充到messages.Base结构体的Padding字段<\/li>
序列化后发送<\/li>
<\/ol>
实操步骤<\/strong>：<\/p>
.\/merlinAgent -padding 200
<\/code><\/pre>
对比发现：<\/p>

-padding 200<\/code>的数据包明显小于默认4096的数据包<\/li>
解密后的有效数据相同，仅填充数据量不同<\/li>
<\/ul>
总结<\/h2>
Merlin Agent提供了全方位的流量逃逸技术，攻击者可以：<\/p>

伪造JA3指纹模拟合法客户端<\/li>
模拟特定浏览器行为<\/li>
自定义UserAgent保持一致性<\/li>
灵活控制心跳包频率避免规律检测<\/li>
混淆通信数据包大小逃避基于包大小的检测<\/li>
<\/ol>
防御方应关注这些技术特点，开发相应的检测手段，不依赖单一检测维度，采用多维度关联分析提高检测准确率。<\/p>