1、HTTP隧道
利用HTTP应用协议封装木马通信。木马基于TCP协议会产生明显的通讯特征,如独有的端口、协议数据格式等。这些通讯特征很容易被发现,进而导致木马被拦截。而基于已有的应用层协议,如http/https等,将木马的控制命令和数据包含在这些协议的内容部分,使得木马的通信和正常的WEB类型访问相比,不再具有明显的特征;同时还可以穿透一些安全软件的过滤检测,保证木马的正常通信。
2、通用的交互
轮询GET请求获取指令
响应未指令
根据指令post数据
HTTP隧道通信
3、PCAP分析
GET /cx 请求轮询指令
HTTP 200 OK响应附带指令
POST 提交指令响应数据
