攻防兼备：Behinder使用指南及流量特征

Behinder是一款动态二进制加密网站管理客户端

下载地址：Releases · BeichenDream/Godzilla · GitHub

基本使用

1. 运行冰蝎，打开传输协议：

生成一个php远程后门：

点击生成服务端，会导出木马到冰蝎的内部路径中：

冰蝎生成的加密马无需密码连接

配置连接信息：

后门就能连接成功！！！

其功能和哥斯拉很相似，所以不再赘述。

流量特征

这里主要分析3.0版本的:

静态特征:

• 采用采用预共享密钥，密钥格式为md5(“admin”)[0:16], 所以在各种语言的webshell中都会存在16位数的连接密码，默认变量为k。
• 在PHP中会判断是否开启openssl采用不同的加密算法，在代码中同样会存在eval或assert等字符特征
• 在jsp中则利用java的反射，所以会存在ClassLoader，getClass().getClassLoader()等字符特征

流量特征

冰蝎2.0：

• 第一阶段请求中返回包状态码为200，返回内容必定是16位的密钥
• Accept: text/html, image/gif, image/jpeg,; q=.2,/*; q=.2
• 建立连接后的cookie存在特征字符，所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/；

冰蝎3.0

• 请求包中content-length 为5740或5720（可能会根据Java版本而改变）
• 每一个请求头中存在 Pragma: no-cache，Cache-Control: no-cache
• Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9