Weevely 3.2 生成的后门样本如下。Weevely生成的混淆的PHP后门脚本,以逃逸IDS 、WAF等安全设备的检测。Weevely的后门采用专有的加密方式对内容进行加密,同时把命令拆分在多个数据包中进行传输。
图1
Weevely 3.2网络数据流
图2
图3
图4
图5
从Weevely3.2抓取的网络数据中 请求头和响应体中 shell指令和响应的内容分别进行了加密处理。
Base64解码响应体内容得出乱码 。
图6
Watcher Lab 解码响应体内容
图7
Watcher Lab 后续还将分析Weevely 3.2版本的 更多网络行为特征。