近年来,冰蝎(Behinder)、哥斯拉(Godzilla)、蚁剑(AntSword)、菜刀(ChinaChopper)等工具仍是攻防对抗中的高频武器。本文基于最新样本(截至2024年8月),深度剖析其流量特征,并提供实战检测方法。
一、工具概览与核心差异
工具协议支持加密方式核心特点冰蝎 4.0HTTP/HTTPSAES + 动态密钥交换全内存加载,无文件落地哥斯拉 1.6HTTP/HTTPSXOR + 自定义变种算法支持多协议插件,流量高度伪装蚁剑 2.8HTTP/HTTPSBase64 + 异或模块化扩展,特征易被修改菜刀 2023HTTPBase64 明文传输低版本特征固定,高版本可定制
二、各工具流量特征详解
1. 冰蝎(Behinder)4.0
请求特征:
Header:必含 Cookie: PHPSESSID=...(PHP 版本)或动态密钥头(如 X-Auth-Key)。Body:AES 加密,长度对齐 16 字节,通常伴随 hex 编码的二进制数据。URL:路径随机化(如 /api/v1/upload),但参数名为固定 _0x... 格式(如 _0x1a2b=...)。 响应特征:
状态码 200,返回数据为 AES 加密后的二进制流,解密后含 ->| 和 |<- 分隔符。 检测规则(Suricata):
alert http any any -> any any (msg:"Behinder 4.0 Request Detected";
content:"Cookie|3a 20|PHPSESSID"; http_header;
pcre:"/\/[a-f0-9]{16}\//U"; sid:10001; rev:1;)
2. 哥斯拉(Godzilla)1.6
请求特征:
Header:Content-Type: application/octet-stream 或自定义 MIME 类型。Body:XOR 加密 + 自定义填充,首字节为密钥长度标识(如 0x10 表示 16 字节密钥)。URL:路径伪装为静态资源(如 /images/logo.png),参数名随机但格式为 _=timestamp。 响应特征:
返回数据含 key 字段用于动态密钥交换,解密后包含 godzilla 关键字。 检测规则(Wireshark 过滤器):
http.content_type == "application/octet-stream" &&
frame.len > 512 && tcp.payload matches "[0-9a-f]{32}"
3. 蚁剑(AntSword)2.8
请求特征:
Header:默认 User-Agent: AntSword/v2.1(可修改,但低权限用户可能保留)。Body:Base64 嵌套异或加密,常见 @ini_set 等 PHP 函数名。URL:路径包含 _=ant 或 cmd=whoami 等参数。 响应特征:
返回数据为 Base64 编码,解密后含 antsuccess 或 antoutput 标识。 检测规则(YARA):
rule AntSword_Loader {
strings:
$magic = { 3c 3f 40 69 6e 69 5f 73 65 74 } //
$tag = "antsuccess" nocase
condition:
any of them
}
4. 菜刀(ChinaChopper)2023 魔改版
请求特征:
Header:Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2(经典特征)。Body:eval(base64_decode($_POST['z0'])) 结构,参数名固定(如 z0, z1)。URL:路径简短(如 /admin.php),参数值长度固定为 16 倍数。 响应特征:
返回明文 OK 或加密后的 %00 填充数据。 检测规则(Snort):
alert tcp any any -> any 80 (msg:"ChinaChopper Payload Detected";
content:"eval(base64_decode"; http_client_body;
content:"z0="; nocase; sid:20001;)
三、流量检测实战方法
1. 工具链推荐
抓包分析:Wireshark + TShark(过滤 HTTP 流)。IDS/IPS:Suricata + Emerging Threats 规则库。日志分析:ELK 堆栈 + 自定义 Grok 解析。
2. 关键检测点
协议异常:HTTP POST 请求频繁,Body 长度固定或含加密特征。头部指纹:非常规 User-Agent、Content-Type 与 Body 不匹配。行为模式:短时间内多次访问敏感路径(如 /admin, /upload)。
3. 高级对抗策略
动态密钥还原:对冰蝎/哥斯拉流量,提取密钥交换阶段的随机数,结合时间戳爆破。机器学习检测:使用 CNN 模型识别加密 payload 的熵值特征(如冰蝎 AES 流熵 >7.5)。
四、总结与防御建议
特征总结:
工具核心标识检测难度冰蝎动态密钥头 + AES 加密流★★★★☆哥斯拉XOR 密钥长度标识 + 多协议插件★★★☆☆蚁剑Base64 嵌套异或 + antsuccess 关键字★★☆☆☆菜刀eval(base64_decode) + 固定参数名★☆☆☆☆ 防御建议:
流量加密管控:拦截未授权加密协议(如非白名单 HTTPS 域名)。行为建模:基于 UEBA 分析异常文件操作(如短时间内多次 whoami 命令)。规则热更新:订阅开源威胁情报(如 GitHub 的 webshell-collection 项目)。
附录:检测规则库与样本下载
Suricata 规则库最新 Webshell 样本合集
注:攻防对抗持续升级,建议结合流量特征与主机日志进行联动分析。