回音鸟
Echo Bird(回音鸟)是一款高效、安全的即时聊天软件
- 文章6397
- 阅读37241
人生倒计时
- 今日已经过去小时
- 这周已经过去天
- 本月已经过去天
- 今年已经过去个月
本文目录一览:
冰蝎-特征检测及报文解密
冰蝎在流量交互中的特征可以分为可绕过和非可绕过两大类。可绕过特征包括Accept字段、UserAgent字段和长连接等,攻击者可以通过构造报文进行绕过,导致设备检测不到冰蝎webshell特征。非可绕过特征则包括密钥传递时的URL参数、加密时的URL参数、传递的密钥、加密数据上行和下行等。
为有效检测冰蝎,需结合多个特征进行分析,以降低误报。例如,检测Accept字段的异常值,或者追踪UserAgent的多样化。在报文解密方面,冰蝎使用AES加密并编码,服务器返回的16位随机密钥是解密的关键。通过截获并利用AES在线解码工具,可以获取加密后的详细信息。
通过对冰蝎加密流量的Wireshark抓包,我发现加密请求的URI和referer虽然在初次访问时相同,但后续会有所变化,密钥协商过程似乎不再可见。这使得面对加密报文时,我们显得无计可施。但通过行为模式,可以观察到一些线索:同一URL会频繁被访问,然而源IP却非常有限,这是Webshell的典型特征。
加密C2框架NimPlant流量分析
在HTTPS支持下,虽然流量本身是加密的,但其行为特征仍可能被检测系统识别。NimPlant的流量特征可能包括特定的GET和POST请求模式,以及自定义URL的使用。检测手段:现代安全防护手段,如观成瞰云的加密威胁智能检测系统,能够通过人工智能和流行为分析技术,有效识别并检测NimPlant等加密C2工具的通信行为。
NimPlant,作为一款Python开发的轻量级C2框架,通过HTTP/HTTPS协议实现加密通信。它默认使用HTTP,但支持SSL/TLS加密,增强通信的隐蔽性。NimPlant的工作流程涉及密钥交换、命令与控制等阶段,以GET和POST请求的形式进行操作,并支持自定义URL。
NimPlant,一款由Python构建的轻型C2框架,通过HTTP/HTTPS加密通信在C2服务器与客户端之间进行隐蔽交流。它默认使用HTTP,但支持配置证书进行SSL/TLS加密,以增强通信的隐秘性。NimPlant允许用户设置任务请求URL,增强任务伪装性。
Wireshark教程:解密HTTPS流量
1、打开pcap文件并调整Wireshark设置。添加SSL或TLS,选择日志文件路径。加载密钥后,过滤HTTPS流量时会显示其内容。具有密钥日志文件的HTTPS流量 使用加密日志文件后的过滤结果显示详细HTTP请求。例如,发现了访问特定网站获取Dridex DLL文件以及与C2服务器通信的数据。
2、创建并配置SSLKEYLOGFILE系统变量,用于捕获浏览器的SSL公钥,以解密HTTPS流量。在Wireshark中,通过编辑首选项并找到TLS(或老版本的SSL)协议,可以引用该变量显示秘钥。理论上,随着使用时间的增加,秘钥文件大小会变大,因此需要考虑自动清理功能。
3、利用wireshark解密https的小实验,旨在探索网络安全领域中的关键环节。首先,配置系统用户环境变量,新建SSLKEYLOGFILE变量,设置变量值为指定路径下的SSLKEY.log文件,确保在所选路径下已创建此文件。
