CS 流量特征
一、HTTP/HTTPS 通信特征
CS 的核心通信依赖 HTTP/HTTPS,其请求和响应具有以下独特之处:
- 请求路径 (URI)
- 默认路径:早期的 CS 版本使用如
/api/rc4、/pixel等明显特征的路径。虽然现在已不常见,但在老旧的、未及时更新的 CS 木马中仍可能出现 - 伪装路径:高级攻击者会配置 Profile,将路径伪装成正常的 URL,如
/login、/css/main.css。此时,检测的关键于路径与请求方法的合理性。例如,POST /css/main.css或GET /submit都是极度可疑的行为 - 长度与随机性:某些配置文件会生成长而随机的路径,例如
/hjd83kalsd94jfnnasd83jklfn。在高频访问中,这种随机性反而成为一种异常
- 默认路径:早期的 CS 版本使用如
- User-Agent (UA)
- 默认 UA:早期的 CS 使用一些固定的、容易被识别的 UA 字符串
- 伪造 UA:攻击者会伪装成常见的浏览器 UA,如 Chrome、Firefox。然而,可以从一致性和时效性来判断:如果来自同一 C2 的所有 Beacon 都使用完全相同的、且已过时的 UA 字符串,则很可能存在 CS 攻击