通讯流量加密（手机流量加密）

本文目录一览：

• 1、冰蝎-特征检测及报文解密
• 2、新版Shadow-TLS隐蔽加密通道流量分析
• 3、观成科技-加密流量检测:蔓灵花组织加密通信研究分析总结

冰蝎-特征检测及报文解密

1、冰蝎在流量交互中的特征可以分为可绕过和非可绕过两大类。可绕过特征包括Accept字段、UserAgent字段和长连接等，攻击者可以通过构造报文进行绕过，导致设备检测不到冰蝎webshell特征。非可绕过特征则包括密钥传递时的URL参数、加密时的URL参数、传递的密钥、加密数据上行和下行等。

2、为有效检测冰蝎，需结合多个特征进行分析，以降低误报。例如，检测Accept字段的异常值，或者追踪UserAgent的多样化。在报文解密方面，冰蝎使用AES加密并编码，服务器返回的16位随机密钥是解密的关键。通过截获并利用AES在线解码工具，可以获取加密后的详细信息。

3、通过对冰蝎加密流量的Wireshark抓包，我发现加密请求的URI和referer虽然在初次访问时相同，但后续会有所变化，密钥协商过程似乎不再可见。这使得面对加密报文时，我们显得无计可施。但通过行为模式，可以观察到一些线索：同一URL会频繁被访问，然而源IP却非常有限，这是Webshell的典型特征。

新版Shadow-TLS隐蔽加密通道流量分析

1、观成科技安全研究团队发现Shadow-TLS-V2加密通信工具在0.20版本中，对客户端转发流量进行了混淆处理，通过将转发信息封装成TLS协议Application Data消息，以逃避流量检测设备的监控。同时，为服务端增加了校验机制，对非客户端访问进行重定向，返回可信网站响应结果，以降低服务端被主动探测发现的概率。

2、NimPlant，一款由Python构建的轻型C2框架，通过HTTP/HTTPS加密通信在C2服务器与客户端之间进行隐蔽交流。它默认使用HTTP，但支持配置证书进行SSL/TLS加密，以增强通信的隐秘性。NimPlant允许用户设置任务请求URL，增强任务伪装性。

观成科技-加密流量检测:蔓灵花组织加密通信研究分析总结

观成安全研究团队对蔓灵花组织近两年使用频率最高的5款工具进行深入分析，包括xorRAT、sessionRAT、plaintextRAT、wmRAT和文件窃密组件。在流量特征分析方面，xorRAT与wmRAT通信使用自定义TCP加密协议，加密密钥多为0xf0x9d、0xca，其中最常使用的是0xca。

针对传统检测方式的局限性，利用深度学习技术提取加密流量高级特征，实现APT加密流量识别与APT组织分类，效果显著。随着深度学习技术的不断发展，其在流量安全检测领域的应用潜力巨大。观成科技团队将持续探索，利用深度学习技术检测未知威胁，为流量安全提供更有力的支持。