目录
[1. 中国菜刀(Chopper)](#1. 中国菜刀(Chopper))
[2. 冰蝎(Behinder)](#2. 冰蝎(Behinder))
[3. 哥斯拉(Godzilla)](#3. 哥斯拉(Godzilla))
[4. 蚁剑(AntSword)](#4. 蚁剑(AntSword))
[5. C99 Shell](#5. C99 Shell)
[6. Weevely](#6. Weevely)
[7. 隐蔽通道(DNS/ICMP)](#7. 隐蔽通道(DNS/ICMP))
[1. 流量异常分析](#1. 流量异常分析)
[2. 加密流量识别](#2. 加密流量识别)
[3. 行为特征](#3. 行为特征)
[1. 技术层面](#1. 技术层面)
[2. 管理层面](#2. 管理层面)
[3. 应急响应](#3. 应急响应)
一、常见Webshell工具流量特征
1. 中国菜刀(Chopper)
-
特征 :
- 参数固定 :如
z0、z1、z2。 - Base64编码:参数值经过Base64编码。
- 固定UA :
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)。
- 参数固定 :如
-
检测规则 :
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Chopper Activity"; content:"z0="; http_client_body;)
2. 冰蝎(Behinder)
-
特征 :
- AES加密:动态密钥加密,内容为二进制流。
- Content-Type :
application/octet-stream。 - WebSocket协议:使用长连接通信。
-
检测规则 :
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Behinder Activity"; content:"application/octet-stream"; http_content_type;)
3. 哥斯拉(Godzilla)
-
特征 :
- 强加密:AES/RSA加密,密钥协商复杂。
- 随机参数名 :如
k=abc123,每次请求不同。 - 分块传输 :
Transfer-Encoding: chunked。
-
检测规则 :
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Godzilla Activity"; content:"Transfer-Encoding: chunked"; http_header;)
4. 蚁剑(AntSword)
-
特征 :
- UA标识 :部分版本UA含
AntSword。 - 插件编码:Base64或ROT13编码。
- 路径特征 :访问
/api/command。
- UA标识 :部分版本UA含
-
检测规则 :
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"AntSword Activity"; content:"AntSword"; http_user_agent;)
5. C99 Shell
-
特征 :
- 明文传输 :参数如
pass=...&cmd=...。 - 固定文件名 :如
c99.php。
- 明文传输 :参数如
-
检测规则 :
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"C99 Activity"; content:"pass="; http_client_body;)
6. Weevely
-
特征 :
- 参数名固定 :如
weevely=...。 - 简单加密:XOR或替换加密。
- 参数名固定 :如
-
检测规则 :
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Weevely Activity"; content:"weevely="; http_client_body;)
7. 隐蔽通道(DNS/ICMP)
-
特征 :
- DNS隧道 :高频请求非常规域名(如
data.attacker.com)。 - ICMP载荷:异常ICMP包大小和频率。
- DNS隧道 :高频请求非常规域名(如
-
检测规则 :
alert dns $HOME_NET any -> any any (msg:"DNS Tunnel"; dns_query; content:".attacker.com"; nocase;)
二、通用检测方法
1. 流量异常分析
- 高频请求:短时间内大量POST请求。
- 参数异常:超长参数名/值(如 >1KB)。
- 非常用端口:HTTP流量出现在8080、8443等端口。
2. 加密流量识别
- 固定长度数据包:加密Payload长度一致。
- 密钥协商请求 :如
key=...参数。
3. 行为特征
- 敏感操作 :命令如
cmd=whoami、func=exec。 - 路径可疑 :如
/uploads/shell.php。
三、防御策略
1. 技术层面
- WAF规则 :拦截含
z0=、application/octet-stream的请求。 - HTTPS解密:对内部流量进行中间人解密检查。
- 文件监控 :禁止上传
.php、.jsp等可执行文件。
2. 管理层面
- 访问控制:限制上传目录执行权限。
- 日志审计:分析异常UA、高频请求和敏感路径访问。
- 沙箱检测:自动扫描上传文件的恶意代码。
3. 应急响应
- 隔离主机:发现入侵后立即断网。
- 溯源分析:通过流量日志定位攻击入口。
- 漏洞修复:修补被利用的漏洞(如SQL注入、文件上传)。
四、总结
Webshell流量特征因工具而异,但通常包含加密、固定参数或异常协议等行为。通过结合特征检测和行为分析,可有效识别攻击。防御需多层联动,从流量监控到文件管理,形成完整防护体系。
防御核心:早发现、早阻断、早溯源。