内存马连接工具在红蓝对抗中至关重要,提供远程控制和隐蔽通信。主要工具有冰蝎、哥斯拉和蚁剑,分别通过动态注入恶意代码实现持久控制。防御策略包括监控动态加载和配置WAF、EDR等。
请勿在公网环境中进行测试,如有需要请各位未来的大佬们自己搭建环境进行测试!.
冰蝎v4.0开放了传输协议的自定义功能,使得流量魔改更为简单方便。通过修改加解密函数,可以让通信流量更像业务,躲避检测。可以将加密流量进行一次base64编码,再与传输方式相结合,使流量看起来正常一些。可以让流量看起来像加载html代码或传输json。
冰蝎流量分析过程:使用ASM框架动态生成class字节数组,AES加密,base64编码,POST发送,解密,base64解码,获取服务端返回的明文数据;检测特征:请求方式、资源、响应、Accept、Agent、Content-Length、REF字段。
完成下面两步后,将自动完成登录并继续当前操作。