冰 蠍是一 種常 見的 遠程管理工具,其工作原理涉及在受害者的主 機上部署 後 門 程式,然 後通 過 遠程 控制 實 現 對受害 機器的完全 控制。冰 蠍的通信 過程大致分 為 兩個 階段:
密 鑰 協商 階段:
攻 擊者通 過HTTP/HTTPS 協定向服 務端 傳送 請求,服 務端生成 一個128位的 隨 機 數, 並 將其存 儲在 會 話(SESSION)中。
客 戶端不 會直接使用 這 個 隨 機 數作 為通信的密 鑰,而是 會 重複 獲取密 鑰的 過程,直到 滿足特定 條件 後, 確定最 終的密 鑰。
客 戶端保存 這 個密 鑰和 回響 報文中的Set-Cookie值, 用於 後 續 與服 務端的通信。
通信 階段:
客 戶端 將待 執行的命令作 為 輸入,利用AES算法或XOR 運算 進行加密,然 後 傳送至服 務端。
服 務端接收密文 後, 進行AES解密或XOR 運算解密, 執行解密 後的命令。
執行 結果通 過AES加密 後返回 給攻 擊者。
冰 蠍的通信 過程中,密 鑰的 產生和更新是通 過 對 稱密 鑰 進行的加密通信。在 伺服器 開 啟PHP OpenSSL 擴展的情 況下,冰 蠍密文 採用 對 稱加密算法AES加密, 並 進行base64 編 碼。攻 擊者可以通 過 線上解 碼工具 對密文 進行解密,以 獲取通信 內容。
總的 來 說,冰 蠍等 遠程管理工具的原理都是通 過在被 控制端部署 後 門 程式,然 後在攻 擊者的 控制下 進行 遠程 控制, 從而 實 現 對受害者 機器的完全 控制。