摘要：本文探讨了攻击者利用DNS over HTTPS（DoH）协议加密特性隐藏恶意流量的技术手段，通过Cobalt Strike和Vshell木马案例分析了DoH加密通信的行为特征。研究发现，DoH将DNS查询封装在HTTPS流量中，使恶意活动伪装成正常上网行为，规避传统检测。文章对比了HTTP/1.1与HTTP/2协议下DoH木马的流量差异，包括帧类型、数据传输方式等关键特征，并提出了基于载荷

Stowaway是一款基于Go语言开发的开源多级代理工具，主要用于渗透测试中的内网穿透。该工具采用客户端/服务器架构，支持TCP、HTTP、WebSocket等多种协议，提供正向/反向连接、SSH隧道、端口复用等功能。其通信协议采用固定头部结构（36字节），数据经过Gzip压缩和AES-256-GCM加密。特征包括：16字节预认证Token、6个交互报文的握手流程、10秒间隔心跳机制，以及HTTP

在分析 APT 组织使用的开源和商业工具的加密通信特征后，我们能够更好的掌握这些工具的行为模式和通信特征，从而为APT攻击的检测提供新的线索。随着网络攻击手段的不断演变，我们的检测和防御措施也必须持续改进，在此过程中，对加密通信流量的分析将成为防御策略的核心，帮助我们应对不断变化的APT威胁。接下来，观成科技安全研究团队将继续追踪和分析APT组织使用的开源和商业工具，以保持对最新威胁的警觉，并不断

摘要：Zloader木马最初作为银行木马Zeus的下载器，现被广泛用于勒索软件投递。其采用多种加密通信技术规避检测：1）DGA技术生成随机域名；2）DNS隧道隐藏数据；3）HTTPS加密通信；4）Websocket掩码加密。最新版本通过会话密钥强化DNS隧道加密。观成科技利用AI模型结合TLS指纹检测HTTPS加密流量，持续通过行为分析和机器学习应对加密威胁。研究表明，恶意软件正不断升级流量对抗技

Vshell是一款专为红队设计的网络工具，支持多种协议如TCP、UDP、KCP、WebSocket等，具备文件管理、隧道代理等核心功能，适用于模拟网络攻击和测试防御系统。该工具通过加密通信和双向认证提高隐蔽性，服务端和客户端通过特定协议进行数据交换，如TCP协议中的系统信息传输和WebSocket协议中的动态参数配置。尽管Vshell的加密通信增加了检测难度，但通过特征匹配和行为规则分析，仍可有效