Godzilla加密流量逆向:从AES-ECB到Gzip解压的全过程拆解
Godzilla加密流量逆向:从AES-ECB到Gzip解压的全过程拆解
在网络安全攻防对抗中,加密流量的分析能力已成为安全研究人员的核心技能。本文将深入剖析Godzilla木马的加密通信机制,通过完整的技术拆解,带您掌握从流量捕获到明文还原的全套实战方法。
1. Godzilla流量特征识别
Godzilla作为一款基于Java编写的Web管理工具,其流量特征具有明显的可识别模式。不同于常规Web流量,加密通信使其在检测层面需要特殊处理。
关键特征矩阵:
| 特征类型 | 具体表现 | 检测可靠性 |
|---|---|---|
| User-Agent | Java/1.8.0_xxx(默认) | 弱特征(可自定义) |
| Cookie尾部 | 存在异常分号(如JSESSIONID=xxx;) | 强特征 |
| 请求体结构 | Base64编码或原始加密数据 | 中等特征 |
| 响应体模式 | 前16位MD5+Base64+后16位MD5 | 强特征 |
| 连接行为 | 保持长连接(Keep-Alive) | 辅助特征 |
注意:实际分析时应组合多个特征进行综合判断,单一特征易产生误报
典型的三阶段通信流程:
- 初始化请求:发送大体积加密数据,服务端返回PHPSESSID
- 认证请求:携带Cookie的小数据包通信
- 命令交互:持续的小数据包双向加密传输
2. 加密协议逆向工程
Godzilla采用多层嵌套的加密方案,核心流程包括AES-ECB对称加密和Gzip压缩。以下为完整解密步骤:
2.1 密钥提取与处理
JSP木马源码中硬编码的密钥是解密的起点:
String xc="748007e861908c03";该16字节密钥用于AES-ECB模式的加解密操作。在真实流量中,密钥可能经过变形处理,需注意以下变种:
- 密钥拼接(如
key + salt) - 动态密钥派生(基于时间、会话ID等)
- 多阶段密钥轮换
2.2 AES-ECB解密实现
使用Python的PyCryptodome库进行解密:
from Crypto.Cipher import AES def aes_ecb_decrypt(ciphertext, key): cipher = AES.new(key, AES.MODE_ECB) try: return cipher.decrypt(ciphertext) except ValueError as e: print(f"解密失败: {str(e)}") return None # 示例用法 key = b'748007e861908c03' encrypted_data = bytes.fromhex("b5c1fadbb7e28da0...") plaintext = aes_ecb_decrypt(encrypted_data, key)ECB模式的特点:
- 无需初始化向量(IV)
- 相同明文块产生相同密文块
- 存在潜在的模式识别风险
2.3 Gzip解压处理
解密后的数据通常经过Gzip压缩,需使用zlib库处理:
import zlib def gzip_decompress(data): try: # 16 + MAX_WBITS参数用于处理gzip头 return zlib.decompress(data, 16 + zlib.MAX_WBITS) except zlib.error as e: print(f"解压失败: {str(e)}") return None decompressed = gzip_decompress(plaintext) print(decompressed.decode('utf-8'))常见问题处理:
- 数据损坏:尝试
zlib.decompressobj().decompress() - 编码问题:测试UTF-8/GBK/ISO-8859-1等编码
- 不完整数据:检查数据包头尾标识
3. 实战流量解析
通过Wireshark捕获的真实流量分析示例:
3.1 数据包预处理
过滤HTTP流量:
http定位加密数据包特征:
- 异常Content-Type
- 非常规数据长度
- 特殊Cookie格式
提取加密载荷:
import base64 def extract_payload(packet): # 处理Base64编码情况 if is_base64(packet.data): payload = base64.b64decode(packet.data[16:-16]) # 去除MD5头尾 else: payload = packet.data # 原始加密数据 return payload3.2 完整解析流程
- 十六进制数据处理:
raw_hex = "b5c1fadbb7e28da08572486d8e6933a8..." encrypted_bytes = bytes.fromhex(raw_hex)- 多层解密链:
# AES解密 decrypted = aes_ecb_decrypt(encrypted_bytes, key) # Gzip解压 decompressed = gzip_decompress(decrypted) # 编码转换 final_output = decompressed.decode('gbk') # 根据实际情况调整编码- 结果验证:
- 检查输出是否包含可读命令(如
whoami、ifconfig) - 验证系统路径是否符合预期(如
/www/wwwroot/) - 比对时间戳与操作序列
4. 高级分析技巧
4.1 动态密钥破解
当遇到非默认密钥时,可采用以下方法:
- 暴力破解:
import itertools def brute_force_keyspace(charset, length): for attempt in itertools.product(charset, repeat=length): yield ''.join(attempt).encode() # 示例4位小写字母+数字破解 for key in brute_force_keyspace('abcdefghijklmnopqrstuvwxyz0123456789', 4): decrypted = aes_ecb_decrypt(ciphertext, key) if b'whoami' in decrypted: # 已知明文检查 print(f"发现有效密钥: {key.decode()}") break- 密钥派生分析:
- 检查会话ID与密钥的关联
- 分析时间戳参与密钥生成的模式
- 追踪内存中的密钥残留
4.2 流量重组技术
对于分段传输的加密数据:
- 按TCP序列号排序数据包
- 识别分片边界(通常有固定头尾标记)
- 使用Scapy重组:
from scapy.all import * packets = rdpcap("godzilla.pcap") streams = packets.sessions() for session in streams: payload = b''.join([p[Raw].load for p in streams[session] if Raw in p]) # 继续解密流程...4.3 异常处理机制
健壮的解析脚本应包含:
def safe_parse(data): try: # 尝试Base64解码 try: data = base64.b64decode(data) except: pass # 尝试Hex解码 try: data = bytes.fromhex(data.decode()) except: pass # 多层解密 steps = [ lambda x: aes_ecb_decrypt(x, key), gzip_decompress, lambda x: x.decode('utf-8') ] for step in steps: data = step(data) if data is None: raise ValueError("解析中断") return data except Exception as e: print(f"解析错误: {str(e)}") return None在真实攻防对抗中,Godzilla流量的分析远不止于技术解密。我曾遇到攻击者使用变种密钥生成方案,将当前时间的小时数与固定密钥拼接(如key = base_key + str(hour)),这种动态变化使得静态密钥库失效。通过分析多个攻击时间点的流量样本,最终发现密钥随时间变化的规律,成功构建出动态密钥推导函数。