WebShell流量特征分析与检测技术详解<\/h1>

一、冰蝎(Behinder)流量特征分析<\/h2>

1. 冰蝎v3.0 beta 11特征<\/h3>

1.1 流量特征<\/h4>

弱特征<\/strong>:<\/p>

Accept头: `text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/webp,image\/apng,\/;q=0.8,application\/signed-exchange;v=b3;q=0.9<\/code><\/li>`
`Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7<\/code><\/li>`
`Content-type: application\/x-www-form-urlencoded<\/code><\/li> <\/ul> <\/li>`
强特征<\/strong>:<\/p> 所有请求开头固定为: yc8MNtAHgYXhSjykK5u2E<\/code><\/li> <\/ul> <\/li> <\/ul> 2. 冰蝎v4.1特征<\/h3> 2.1 默认流量特征<\/h4> 弱特征<\/strong>:<\/p> Accept头: application\/json, text\/javascript, \/; q=0.01<\/code><\/li> Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7<\/code><\/li> Content-type: application\/x-www-form-urlencoded<\/code><\/li> <\/ul> <\/li> 强特征<\/strong>:<\/p> 默认仍使用v3.0加密方式，请求开头仍为: yc8MNtAHgYXhSjykK5u2E<\/code><\/li> <\/ul> <\/li> <\/ul> 2.2 自定义传输协议分析<\/h4> 生成木马流程<\/strong>:<\/p> 选择【传输协议】→【协议名称】→【生成服务器】<\/li> 生成的马为AES加密，连接时必须使用相同加密协议<\/li> <\/ul> <\/li> 连接特征<\/strong>:<\/p> 连接时发出两个请求，请求包和响应包均为AES加密<\/li> 执行命令后，请求开头变为: m7nCS8n4OZG9akdDlxm6O<\/code><\/li> <\/ul> <\/li> 解密分析<\/strong>:<\/p> 解密后可见PHP代码开头: @error_reporting(0);<\/code><\/li> 包含关键函数: getSafeStr()<\/code>和main()<\/code><\/li> 默认加密密钥: e45e329feb5d925b<\/code> (连接密码32位md5值的前16位)<\/li> <\/ul> <\/li> <\/ol> 2.3 流量特征总结表<\/h4> 编码格式<\/th> POST流量特征<\/th> 解密后内容<\/th> <\/tr> <\/thead> xor_base64<\/td> dFAXQV1LORcHRQtLRlwMAhwFTAg\/M<\/td> @error_reporting(0)<\/td> <\/tr> aes<\/td> m7nCS8n4OZG9akdDlxm6O<\/td> @error_reporting(0)<\/td> <\/tr> aes_with_magic<\/td> m7nCS8n4OZG9akdDlxm6O<\/td> @error_reporting(0)<\/td> <\/tr> xor<\/td> 无固定特征<\/td> 无固定特征<\/td> <\/tr> <\/tbody> <\/table> 二、蚁剑(AntSword)流量特征分析<\/h2> 1. 特征分析<\/h3> 1.1 POST请求体特征<\/h4> 连接成功后的请求特征: @ini_set("display_errors", "0");<\/code><\/li> 请求路径为WebShell文件名<\/li> 请求体格式: 连接密码=(cmd=@ini_set("display_errors", "0");...)<\/code><\/li> <\/ul> 1.2 响应明文特征<\/h4> 执行命令后，响应包中返回明文执行结果<\/li> <\/ul> 1.3 编码格式特征<\/h4> 即使加密后仍可识别: eval<\/code>高危函数<\/li> cmd=<\/code>参数格式<\/li> 响应中包含固定字符串: 5e3c00e8af<\/code>和5838651<\/code><\/li> <\/ul> <\/li> <\/ul> 三、哥斯拉(Godzilla)流量特征分析<\/h2> 1. 特征分析<\/h3> 1.1 eval_xor_base64编码<\/h4> 生成马后连接时发出三个请求<\/li> 请求体为URL和base64加密<\/li> 明显可见eval<\/code>高危函数，接近明文传输<\/li> <\/ul> 1.2 xor_base64编码<\/h4> 连接时发出三个请求<\/li> 请求体格式: 木马连接密码=(pass=xxxxx)<\/code><\/li> 可使用专用工具解密<\/li> <\/ul> 1.3 xor_raw编码<\/h4> 请求和响应内容不可读<\/li> 需要特定解密方法<\/li> <\/ul> 1.4 其他特征<\/h4> Cookie特征<\/strong>: PHPSESSID=...;<\/code> (末尾带分号)<\/li> 弱特征<\/strong>: 请求头Accept: text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/webp,\/;q=0.8<\/code><\/li> 响应头Cache-Control: no-store, no-cache, must-revalidate<\/code><\/li> <\/ul> <\/li> <\/ul> 四、检测与防御建议<\/h2> 1. 检测方法<\/h3> 特征匹配<\/strong>:<\/p> 检查HTTP请求中的固定字符串特征<\/li> 监控异常Content-type与Accept头组合<\/li> 检测eval<\/code>、base64_decode<\/code>等高危函数<\/li> <\/ul> <\/li> 行为分析<\/strong>:<\/p> 监控短时间内多次加密通信<\/li> 检测异常的命令执行行为<\/li> <\/ul> <\/li> 解密分析<\/strong>:<\/p> 对可疑流量尝试解密<\/li> 检查解密后的PHP代码特征<\/li> <\/ul> <\/li> <\/ol> 2. 防御建议<\/h3> Web应用防护<\/strong>:<\/p> 禁用危险PHP函数<\/li> 限制文件上传类型<\/li> 定期检查服务器文件完整性<\/li> <\/ul> <\/li> 网络防护<\/strong>:<\/p> 部署WAF规则匹配已知WebShell特征<\/li> 监控异常外连行为<\/li> <\/ul> <\/li> 日志分析<\/strong>:<\/p> 收集并分析Web服务器访问日志<\/li> 建立基线检测异常访问模式<\/li> <\/ul> <\/li> <\/ol> 五、工具使用指南<\/h2> 1. 蓝队分析研判工具箱<\/h3> 解密流程<\/strong>:<\/p> 输入正确的key值和密码<\/li> 将请求包内容复制到待解密区<\/li> 点击"解密请求包"获取明文<\/li> <\/ul> <\/li> 特征提取<\/strong>:<\/p> 自动识别常见WebShell特征<\/li> 支持多种编码格式解密<\/li> <\/ul> <\/li> <\/ol> 2. 流量分析工具<\/h3> Wireshark<\/strong>:<\/p> 过滤HTTP流量<\/li> 检查POST内容特征<\/li> <\/ul> <\/li> Burp Suite<\/strong>:<\/p> 拦截并修改请求<\/li> 重放攻击测试<\/li> <\/ul> <\/li> <\/ol> 六、总结<\/h2> 本文详细分析了冰蝎、蚁剑和哥斯拉三种常见WebShell工具的流量特征，包括请求头、请求体、加密方式和响应特征。通过理解这些特征，安全人员可以更有效地检测和防御WebShell攻击。防御方应结合特征检测和行为分析，建立多层防御体系，同时定期更新检测规则以应对新型WebShell变种。<\/p>

编码格式<\/th>	POST流量特征<\/th>	解密后内容<\/th> <\/tr> <\/thead>
xor_base64<\/td>	dFAXQV1LORcHRQtLRlwMAhwFTAg\/M<\/td>	@error_reporting(0)<\/td> <\/tr>
aes<\/td>	m7nCS8n4OZG9akdDlxm6O<\/td>	@error_reporting(0)<\/td> <\/tr>
aes_with_magic<\/td>	m7nCS8n4OZG9akdDlxm6O<\/td>	@error_reporting(0)<\/td> <\/tr>
xor<\/td>	无固定特征<\/td>	无固定特征<\/td> <\/tr> <\/tbody> <\/table> 二、蚁剑(AntSword)流量特征分析<\/h2> 1. 特征分析<\/h3> 1.1 POST请求体特征<\/h4> 连接成功后的请求特征: `@ini_set("display_errors", "0");<\/code><\/li>` `请求路径为WebShell文件名<\/li>` 请求体格式: 连接密码=(cmd=@ini_set("display_errors", "0");...)<\/code><\/li> <\/ul> 1.2 响应明文特征<\/h4> 执行命令后，响应包中返回明文执行结果<\/li> <\/ul> 1.3 编码格式特征<\/h4> 即使加密后仍可识别: eval<\/code>高危函数<\/li> cmd=<\/code>参数格式<\/li> 响应中包含固定字符串: 5e3c00e8af<\/code>和5838651<\/code><\/li> <\/ul> <\/li> <\/ul> 三、哥斯拉(Godzilla)流量特征分析<\/h2> 1. 特征分析<\/h3> 1.1 eval_xor_base64编码<\/h4> 生成马后连接时发出三个请求<\/li> 请求体为URL和base64加密<\/li> 明显可见eval<\/code>高危函数，接近明文传输<\/li> <\/ul> 1.2 xor_base64编码<\/h4> 连接时发出三个请求<\/li> 请求体格式: 木马连接密码=(pass=xxxxx)<\/code><\/li> 可使用专用工具解密<\/li> <\/ul> 1.3 xor_raw编码<\/h4> 请求和响应内容不可读<\/li> 需要特定解密方法<\/li> <\/ul> 1.4 其他特征<\/h4> Cookie特征<\/strong>: PHPSESSID=...;<\/code> (末尾带分号)<\/li> 弱特征<\/strong>: 请求头Accept: text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/webp,\/;q=0.8<\/code><\/li> 响应头Cache-Control: no-store, no-cache, must-revalidate<\/code><\/li> <\/ul> <\/li> <\/ul> 四、检测与防御建议<\/h2> 1. 检测方法<\/h3> 特征匹配<\/strong>:<\/p> 检查HTTP请求中的固定字符串特征<\/li> 监控异常Content-type与Accept头组合<\/li> 检测eval<\/code>、base64_decode<\/code>等高危函数<\/li> <\/ul> <\/li> 行为分析<\/strong>:<\/p> 监控短时间内多次加密通信<\/li> 检测异常的命令执行行为<\/li> <\/ul> <\/li> 解密分析<\/strong>:<\/p> 对可疑流量尝试解密<\/li> 检查解密后的PHP代码特征<\/li> <\/ul> <\/li> <\/ol> 2. 防御建议<\/h3> Web应用防护<\/strong>:<\/p> 禁用危险PHP函数<\/li> 限制文件上传类型<\/li> 定期检查服务器文件完整性<\/li> <\/ul> <\/li> 网络防护<\/strong>:<\/p> 部署WAF规则匹配已知WebShell特征<\/li> 监控异常外连行为<\/li> <\/ul> <\/li> 日志分析<\/strong>:<\/p> 收集并分析Web服务器访问日志<\/li> 建立基线检测异常访问模式<\/li> <\/ul> <\/li> <\/ol> 五、工具使用指南<\/h2> 1. 蓝队分析研判工具箱<\/h3> 解密流程<\/strong>:<\/p> 输入正确的key值和密码<\/li> 将请求包内容复制到待解密区<\/li> 点击"解密请求包"获取明文<\/li> <\/ul> <\/li> 特征提取<\/strong>:<\/p> 自动识别常见WebShell特征<\/li> 支持多种编码格式解密<\/li> <\/ul> <\/li> <\/ol> 2. 流量分析工具<\/h3> Wireshark<\/strong>:<\/p> 过滤HTTP流量<\/li> 检查POST内容特征<\/li> <\/ul> <\/li> Burp Suite<\/strong>:<\/p> 拦截并修改请求<\/li> 重放攻击测试<\/li> <\/ul> <\/li> <\/ol> 六、总结<\/h2> 本文详细分析了冰蝎、蚁剑和哥斯拉三种常见WebShell工具的流量特征，包括请求头、请求体、加密方式和响应特征。通过理解这些特征，安全人员可以更有效地检测和防御WebShell攻击。防御方应结合特征检测和行为分析，建立多层防御体系，同时定期更新检测规则以应对新型WebShell变种。<\/p>