这段时间忙于将研究成果转化为实际的东西,想想已半月有余没和大家共享研究成果了,(守望者们都太忙啦)。前几篇文章重点讲了一下国外比较流行的绕IDS Webshell Weevely。主要讲了Weevely的流量特征和后门样本特征,今天讲讲Weevely的另一种模式img模式以及Weevely从流量上如何检测。
- Weevely.img模式
Weevely除了可以实时生成一个完全唯一的PHP Webshell之外其实还有另外一种模式就是将生成的代码插入到一个图片文件中,即img模式,但是最新版的Weevely却取消了这个功能,可能是作者觉得img模式太鸡肋吧,需要.htaccess支持确实是硬伤,而且代码插入图片中会导致图片文件特征太过明显基于文件的检测很容易就能检测出一个异常图片文件从而暴露身份,毕竟我们玩的就是“隐身”。
我们来看一个正常的图片中使用Weevely.img模式插入Weevely代码的前后对比:
插入代码前:
插入代码后:
还是很明显的吧,在插入代码的同时还会生成一个.htaccess文件,目的是让服务器将jpg图片当成PHP代码来执行,内容如下:
- Weevely.img通信加密
在成功的制作一个Weevely.img后门之后我们将文件放到一个实验用的环境中,并使用Weevely的客户端连接Webshell。进行了几个命令执行的操作后,打开抓取的网络流量数据,发现payload被加密了:
- Weevely.img流量检测
Weevely的通信隐藏在正常流量中,通过大量的流量样本守望者开发的检测系统能够发现Weevely Request Cookie域中的模式特征并配合Response来确定某个流量是否为疑似Weevely,并将疑似Weevely的Cookie域经过去掉第一个参数,去掉干扰符号,重组,最后解密的过程发现具有攻击性的Payload。
上述Payload解密后的内容为:
欢迎关注守望者实验室!
