高隐藏性webshell分析:Weevely 3.2 Backdoor流量特征(一)

围观次数:1,369 views

Weevely 3.2 生成的后门样本如下。Weevely生成的混淆的PHP后门脚本,以逃逸IDS 、WAF等安全设备的检测。Weevely的后门采用专有的加密方式对内容进行加密,同时把命令拆分在多个数据包中进行传输。

1

图1

Weevely 3.2网络数据流

2

图2

3

图3

4

图4

5

图5

从Weevely3.2抓取的网络数据中 请求头和响应体中 shell指令和响应的内容分别进行了加密处理。

Base64解码响应体内容得出乱码 。

6

 图6

  Watcher Lab 解码响应体内容

7

图7

Watcher Lab 后续还将分析Weevely 3.2版本的 更多网络行为特征。

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助