哥斯拉（Godzilla）WebShell 流量与通信特征分析

目录

• 1. Content-Type 特征
• 2. User-Agent 字段特征
• 3. 请求方法特征
• 4. 响应特征
• 5. 特征性参数名
• 6. 加密与编码特征
• 7. Cookie 字段特征
• 8. 魔改与检测绕过手段
• 9. 检测建议
• 魔改后的哥斯拉

1. Content-Type 特征

哥斯拉根据通信方式及加密器不同，会设置不同的 Content-Type，常见包括：

• 默认（常规 POST 传参）：

  Content-Type: application/x-www-form-urlencoded

• 加密通信中可能使用：

  Content-Type: text/plain
  Content-Type: multipart/form-data

2. User-Agent 字段特征

哥斯拉通常伪装成常见浏览器 User-Agent，默认使用固定值，随机性较弱：

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)

某些魔改版本可配置或自定义 User-Agent，以逃避检测（正常也能）。

3. 请求方法特征

哥斯拉通信过程通常使用 POST 方法进行命令传输和数据交互：

POST /shell.jsp HTTP/1.1

• 请求体中包含密文或加密数据，例如：

  key=U2FsdGVkX1+...

• GET 请求偶尔用于状态验证，但功能型请求基本依赖 POST。

4. 响应特征

• 响应体内容通常为经过加密的 Base64 字符串或二进制数据
• 无明显 HTML 标签，如 <html>、<body> 等
• 响应长度与操作内容高度相关（例如文件列举、命令执行等）

5. 特征性参数名

哥斯拉默认请求体参数名称可能具备特征性，常见的包括：

param=base64encodeddata
pass=encryptedPayload
key=payloadKey

这些字段名可在客户端中配置，检测时应关注参数命名与内容特征。

6. 加密与编码特征

• 常用加密算法：AES（默认）、DES、XOR（较少）
• 多数情况下使用 Base64 编码 + 对称加密
• 通信数据不可明文识别，必须配合密钥才能解密
• 数据块结构规整，长度呈一定规律（可建模分析）

7. Cookie 字段特征

哥斯拉有时会使用 Cookie 传输敏感参数或通道标识：

Cookie: rememberMe=xxxxxx
Cookie: JSESSIONID=xxxxxxxxxxxxxx
Cookie: PHPSESSID=xxxxxxxxxxxxxx
Cookie: T=U2FsdGVkX1+zWwJeGyA2+1YQ==

上面 ai 说的，准确来说会有 ; 分号，特别明显。

8. 魔改与检测绕过手段

哥斯拉支持多种魔改方式，以逃避流量检测：

• 自定义通信路径及后缀（如 .ico, .png, .txt 等）
• 修改参数名、Cookie 名、加密格式
• 数据混淆（插入干扰字符、变形结构）
• 更换 User-Agent，增加 User-Agent 列表轮换功能
• 采用非标准端口通信

9. 检测建议

可疑特征行为包括：

• 长度固定或规律变化的 POST 数据
• Cookie 中包含不可解释或超长 Base64 数据
• 非标准文件后缀但出现命令控制行为
• 响应中缺乏 HTML 结构但返回大量 Base64 编码内容
• 请求频率异常但内容高度相似（命令周期执行）

魔改后的哥斯拉

这里贴上大佬改好的 魔改后哥斯拉