哥斯拉流量特征检测思路
最新回答
情℃梦杀次
2020-07-14 09:38:41
哥斯拉流量加密特性使其在躲避WAF等安全设备检测方面表现出与冰蝎类似的特点。由于哥斯拉的shell类型全部通过市面上的静态查杀,静态免杀的问题较为复杂。工具的更新可能暂时逃避检测,但改变代码仍可使其继续通过安全设备。关键在于流量加密以及自带的插件,这些是评估哥斯拉流量安全性的重要因素。
哥斯拉的流量加密策略能绕过市场上的流量WAF,而其自带的插件性能超越了冰蝎和蚁剑。这表明在流量加密以及自带插件方面,哥斯拉具有显著优势。
对于静态特征检测,主要针对WebShell上传阶段,识别WebShell特征通常是基础检测方法。尽管这种方法适合直接文件上传漏洞检测,但攻击者可能利用反序列化漏洞或命令执行等漏洞,实现不直接传递原始WebShell内容的写入。若WebShell非默认生成,修改也有可能绕过静态特征检测。
哥斯拉提供JAVA、C#及PHP三种类型的默认WebShell生成支持,其中JAVA生成jsp及jspx,C#支持aspx、asmx、ashx,PHP生成php后缀WebShell。JAVA主要涉及加密、类加载和反射,C#使用Assembly动态解析执行已编译DLL二进制文件,PHP采用异或实现自定义加密,直接使用eval函数执行代码。
WebShell通信特征方面,哥斯拉加密流量通信,检测难度较大,由于WAF等流量检测型安全设备无法解密,采用宽泛匹配规则进行检测。这类方法误报率较高,且应用自身使用自定义加密流量通讯时可能导致误报。针对这类情况,需在安全运营中识别并剔除特定检测规则,减少误报,但同时会增加漏报风险。
在哥斯拉中,引入一些其他特征辅助检测,基于这些特征的匹配可实现高检出率和低误报率。例如,User-Agent和Accept特征较弱,Cookie最后的分号是致命特征。请求体特征通过匹配长度和base64编码进行检测,响应体特征则通过md5字符串的特定模式实现检测。
内存马排查时,关注注入方法,查看web日志以发现可疑访问日志。哥斯拉和冰蝎的内存马注入流量特征与普通WebShell相似。通过对比返回200的url路径与web目录文件,可判断是否存在内存马。若无异常发现,需排查中间件漏洞导致的代码执行注入,以及Java代码执行漏洞、框架和反序列化漏洞。
热门标签
