1、概述
suo5 是一个全新的 HTTP 代理隧道,基于 HTTP/1.1 的 Chunked-Encoding 构建。相比 Neo-reGeorg 等传统隧道工具, suo5 的性能可以达到其数十倍。在传输数据阶段使用了自定义加密手段来对HTTP协议的明文传输进行规避。隐藏真实流量,防止被安全设备检出。利用webshell文件来进行连接,复用服务器端口,绕过防火墙策略限制。
2、原理
suo5通过上传特定脚本到网站目录进行解析,配合本地工具即可搭建隧道。这种方式可以直达内网,并且复用了网站的端口,无需再开新的端口和担忧防火墙规则对流量的拦截。
suo5在使用时通信过程分为三个阶段:1、测试连接;2、确认通信模式;3、加密数据转发;如下图所示:
2.1、测试连接阶段
在未魔改的情况下,在suo5与webshell脚本建立连接时,测试连接是否通畅的请求报文中 Content-Type 的值为 application/plain
测试报文使用POST请求方式,报文载荷携带验证数据。数据大小固定为64字节。当webshell文件被成功解析时,会将发送过来的字符串前32字节返回来通知客户端连接已成功建立。
2.2、连接模式
suo5工具在连接时可选两种模式,分别为:全双工模式、半双工模式。在工具界面可选自动,默认为全双工。
2.2.1、全双工模式
在suo5的连接模式为全双工时,Content-Type的值为 application/octet-stream
由于中间链路使用了 HTTP 请求响应来中转流量,过多的请求和响应报文使得工具在使用时延迟过高。在全双工模式下为了提高连接性能,利用 HTTP/1.1 的 Transfer-Encoding: Chunked 模式来发送 Body,如果发送端不主动关闭 Body,在获取到服务端响应后可以继续发送 Body 数据,继续获取服务器响应。此时就做到了仅用一条HTTP请求就能建立持续的通信。数据流就类似于TCP直连通信,响应速度更快。
同样的,为了提高响应速度。webshell脚本在给客户端返回服务端数据时,会给响应报文里增加一个 X-Accel-Buffering: no 的响应头,就能够改掉当前响应的缓存行为变成直接发给用户。具体情况如下图所示:
但该方式也存在不足之处,就是此模式不能用在反向代理场景中。
2.2.2、半双工模式
在反向代理的场景下,应当使用该工具的半双工模式。
在suo5的连接模式为半双工时,Content-Type的值为 application/x-binary ;请求报文为POST请求方式。加密数据存放在报文载荷中。每次传输数据时都会重新发起一次请求。
2.3、加密数据转发
每次对数据进行转发时,服务器的webshell脚本会先测试目标地址是否可达。如果成功连接到目标地址,将会固定返回一串十六进制 | 00 00 00 07 00 01 73 00 00 00 01 00 0d 0a | 表示能够对数据进行转发。
数据传输使用HTTP报文进行。使用请求方式均为POST。需要传输的数据会经过加密后放在请求和响应报文的载荷部分。
suo5工具在使用HTTP协议时默认的用户代理字段为 User-Agent:Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.1.2.3。可以通过工具的交互界面中高级配置选项来对默认的请求头进行修改。
3、加密方式
suo5工具在传输数据时使用的是异或加密方式。每个报文的数据都拥有不同的密钥。但是每个报文中都携带本次数据的密钥,可从载荷中提取出加密密钥对其进行解密。
通过查看源码可以看出,每次报文中的加密密钥都放在载荷的第五个字节,前四个字节为数据大小,用于校验该报文是否存在数据丢失。当数据大小校验通过后,则使用异或方式来对传输的数据进行解密。
以使用suo5隧道工具承载ssh流量为例,在使用wireshark抓取隧道流量后,报文载荷未解密前看不出实际意义。
使用python编写解码脚本后可以看出,在经过解密后,加密数据的实际内容为ssh协议的连接报文。
4、产品检测
观成瞰云(ENS)-加密威胁智能检测系统能够对suo5工具产生的HTTP隧道加密流量进行检测。
5、总结
通过使用suo5隧道工具,攻击者可以利用webshell文件来复用服务端的端口。通过利用服务器的业务端口建立起HTTP隐蔽隧道。在隧道中使用加密流量来传输相关数据。自定义的加密方式可以有效的规避传统明文流量设备的检测。而复用服务器的业务端口则可以有效绕过防火墙的安全策略。但是基于人工智能、流行为特征和TLS限定域指纹检测的加密威胁智能检测系统能够高效、准确的检测出此类加密隧道。目前越来越多的攻击者利用隐蔽隧道工具来封装攻击行为,观成科技安全研究团队会持续跟踪和研究各类隐蔽隧道工具。返回搜狐,查看更多
责任编辑: