Cobalt Strike 与哥斯拉Webshell流量解密与分析技术详解<\/h1>

一、样本背景<\/h2>
本教学文档基于2025年"泰山杯"山东省网络安全大赛C组数据安全赛道流量样本，包含Webshell（哥斯拉）和Cobalt Strike流量的解密与分析技术。<\/p>

二、哥斯拉Webshell流量分析<\/h2>

2.1 流量识别特征<\/h3>

初始握手包<\/strong>：<\/p>

请求形式：pass名=加密数据<\/code>（示例：suger=加密数据<\/code>）<\/li>
请求数据量较大<\/li>
请求头不携带Cookie<\/li>
响应包无数据但设置PHPSESSID<\/li> <\/ul> <\/li>
后续通信包<\/strong>：<\/p> 请求包：pass名=加密数据<\/code>形式，数据量较小<\/li> 响应包：固定格式"前后16位MD5值，中间32位加密字符串"<\/li> <\/ul> <\/li> Header弱特征<\/strong>：<\/p> User-Agent、Accept、Accept-Language头包含固定值<\/li> <\/ul> <\/li> <\/ol> 2.2 加密方式分析<\/h3> 类型：XOR_BASE64<\/li> 加密算法：Base64 + 异或加密<\/li> 密钥参数： pass='suger'<\/li> key='a5717a649d346ed0'（16字节固定XOR循环密钥）<\/li> <\/ul> <\/li> <\/ul> 2.3 解密算法实现<\/h3> # 哥斯拉解密脚本核心逻辑<\/span> <\/span><\/span>def<\/span> decrypt_godzilla<\/span>(data, key): <\/span><\/span> # 1. 去除pass=前缀（请求报文）<\/span> <\/span><\/span> # 2. URL解码<\/span> <\/span><\/span> # 3. Base64解码<\/span> <\/span><\/span> # 4. 使用16字节XOR密钥循环异或解密<\/span> <\/span><\/span> # 5. 响应报文需先去除前后16位MD5校验值<\/span> <\/span><\/span> return<\/span> decrypted_data <\/span><\/span><\/code><\/pre>2.4 实战解密步骤<\/h3> 通过Wireshark大小排序定位最大流量包<\/li> 使用解密脚本提取加密数据： python3 哥斯拉解密.py req-dec .\/request\/request.txt --raw > .\/response\/1.bin <\/span><\/span><\/code><\/pre><\/li> 修复文件头，提取压缩包<\/li> <\/ol> 三、Cobalt Strike流量分析<\/h2> 3.1 CS架构与工作流程<\/h3> 三大组件<\/strong>：<\/p> TeamServer（服务端）<\/li> Client（客户端）<\/li> Beacon（被控端代理）<\/li> <\/ul> <\/li> 通信流程<\/strong>：<\/p> 初始投递 → Stager下载 → Beacon上线 → 心跳通信 → 指令执行<\/li> <\/ul> <\/li> <\/ol> 3.2 流量特征详解<\/h3> 3.2.1 初始投递阶段<\/h4> HTTP GET请求<\/strong>：路径符合checksum8算法（32位结果92，64位结果93）<\/li> 4-5位随机字母数字组合（如\/Yle2, \/FJwV）<\/li> <\/ul> <\/li> User-Agent异常<\/strong>：拼写错误（"WIndows NI"）<\/li> 非常见写法（"W0W64"）<\/li> 异常参数（"0 B01IE8_v1"）<\/li> <\/ul> <\/li> 响应特征<\/strong>： Content-Type: application\/octet-stream<\/li> 包含PE文件头（MZ）<\/li> <\/ul> <\/li> <\/ul> 3.2.2 Beacon心跳阶段<\/h4> 周期性请求<\/strong>：固定间隔（默认60秒）GET请求<\/li> Cookie元数据<\/strong>：长Base64字符串（x86约172字符，x64约344字符）<\/li> 包含RSA加密的主机信息（用户名、主机名、进程名等）<\/li> <\/ul> <\/li> SSL\/TLS特征<\/strong>： JA3\/JA3s指纹固定（如Windows 10 HTTPS Beacon的JA3：28a2c9bd18a11de089ef85a160da29e4）<\/li> 证书Issuer CN和Subject CN均为"Major Cobalt Strike"<\/li> <\/ul> <\/li> <\/ul> 3.2.3 指令执行阶段<\/h4> POST请求回传<\/strong>：路径类似\/submit.php?id=xxx<\/code><\/li> 心跳包长度突变<\/strong>：响应数据长度突增（可达300%）<\/li> 横向移动<\/strong>：异常SMB、RDP或WinRM协议流量<\/li> 数据渗出<\/strong>：大流量HTTP POST外传数据<\/li> <\/ul> 3.3 Beacon逆向分析<\/h3> 定位下载路径<\/strong>：<\/p> Wireshark过滤器：http.request.uri matches "\/....$"<\/code><\/li> 验证checksum8值<\/li> <\/ul> <\/li> Beacon配置提取<\/strong>：<\/p> HTTP类型Beacon<\/li> C2服务器：192.168.33.143:8080<\/li> GET路径：\/ptj<\/li> POST路径：\/submit.php<\/li> <\/ul> <\/li> <\/ol> 3.4 CS流量解密技术<\/h3> 3.4.1 获取解密密钥的两种方法<\/h4> 方法一：获取RSA私钥（从TeamServer）<\/strong><\/p> 私钥文件：.cobaltstrike.beacon_keys<\/code>（Java序列化对象）<\/li> 提取工具：使用javaobj<\/code>等Python库解析<\/li> 解密流程：解密Beacon元数据（HTTP Cookie\/POST中的Base64数据）<\/li> 获取16字节Raw Key<\/li> SHA-256哈希：前16字节为AES密钥，后16字节为HMAC密钥<\/li> <\/ul> <\/li> <\/ol> 方法二：内存转储提取（从受害主机）<\/strong><\/p> 获取内存转储： procdump -mp <pid> <\/span><\/span><\/code><\/pre><\/li> 密钥搜索： CS 3.x：搜索0x0000BEEF<\/code>开头数据<\/li> CS 4.x：暴力碰撞16字节候选密钥<\/li> <\/ul> <\/li> <\/ol> 3.4.2 实战解密过程<\/h4> 步骤1：获取元数据<\/strong><\/p> 过滤器： http and ((ip.src == 192.168.33.143 and ip.dst == 192.168.33.142) or (ip.src == 192.168.33.142 and ip.dst == 192.168.33.143)) <\/code><\/pre> <\/li> 定位Cookie中的Base64元数据<\/li> <\/ul> 步骤2：解密元数据<\/strong><\/p> cs-decrypt-metadata.py -f .cobaltstrike.beacon_keys <metadata_base64> <\/span><\/span><\/code><\/pre>输出：<\/p> Raw key: b0dbd2e724e2a68105ba599a1ad8f30d<\/li> AES key: e2d919d0bff758aeb1167e38ff293edf<\/li> HMAC key: 25a496ed7274cb32d46d600205781afb<\/li> <\/ul> 步骤3：解密流量<\/strong><\/p> cs-parse-http-traffic.py -r b0dbd2e724e2a68105ba599a1ad8f30d -Y "http过滤表达式"<\/span> traffic.pcap <\/span><\/span><\/code><\/pre>步骤4：分析解密结果<\/strong><\/p> 服务端指令：ipconfig、whoami等系统命令<\/li> 执行结果回传<\/li> 提取压缩包密码等关键信息<\/li> <\/ul> 四、防御检测建议<\/h2> 4.1 哥斯拉检测<\/h3> 检测HTTP请求中固定pass参数名<\/li> 监控Base64+异或加密模式<\/li> 识别Header中的固定特征<\/li> <\/ul> 4.2 Cobalt Strike检测<\/h3> 初始访问检测<\/strong>：<\/p> 实时计算URI的checksum8值（92\/93告警）<\/li> 检测异常User-Agent<\/li> 监控包含PE头的下载响应<\/li> <\/ul> <\/li> 心跳通信检测<\/strong>：<\/p> 识别固定间隔的外连请求<\/li> 检测Cookie中长Base64字符串<\/li> SSL\/TLS指纹比对<\/li> <\/ul> <\/li> 行为检测<\/strong>：<\/p> 监控心跳包长度异常波动<\/li> 检测内网异常协议流量<\/li> 监控非业务时间大流量外传<\/li> <\/ul> <\/li> <\/ol> 五、工具汇总<\/h2> 哥斯拉解密<\/strong>：自定义Python解密脚本<\/li> CS元数据解密<\/strong>：cs-decrypt-metadata.py<\/li> CS流量解析<\/strong>：cs-parse-http-traffic.py<\/li> Beacon分析<\/strong>：1768.py（Didier Stevens工具）<\/li> <\/ol> 通过本教学文档详细的分析流程和技术要点，安全分析人员可有效识别和解密Webshell与Cobalt Strike的加密流量，提取关键攻击证据并建立相应的防御检测策略。<\/p>

Cobalt Strike 与哥斯拉Webshell流量解密与分析技术详解<\/h1>

一、样本背景<\/h2> 本教学文档基于2025年"泰山杯"山东省网络安全大赛C组数据安全赛道流量样本，包含Webshell（哥斯拉）和Cobalt Strike流量的解密与分析技术。<\/p>

二、哥斯拉Webshell流量分析<\/h2>

三、Cobalt Strike流量分析<\/h2>

3.2 流量特征详解<\/h3>

3.4 CS流量解密技术<\/h3>

四、防御检测建议<\/h2>

一、样本背景<\/h2>
本教学文档基于2025年"泰山杯"山东省网络安全大赛C组数据安全赛道流量样本，包含Webshell（哥斯拉）和Cobalt Strike流量的解密与分析技术。<\/p>