流量混淆  

XG拟态_V2.0新增流量混淆功能

https://github.com/xiaogang000/XG_NTAI

将Webshell交互流量，根据测试系统的正常业务请求和响应数据，伪造成为正常的业务交互流量，从而规避安全产品和混淆防守人员判断。

针对冰蝎4.0协议规则生成

网站正常业务流量

伪造Webshell交互流量    

使用方法  

1、根据正常业务，找到一个合适的POST数据包(js、json、html、图片、xml等)

2、将请求包数据和响应包数据，复制到Disguise功能指定位置    

3、将标记!!insertPoint!!插入请求包和响应包合适位置

4、选择加密方式，输入配置文件名称后点击加密，即可在工具目录下生成xxxxxx.config配置文件    

5、打开冰蝎4.0，打开传输协议并导入该配置文件

选择导入的协议后生成服务端文件，并保存    

6、新建Webshell连接，加密类型选择自定义-传输协议    

此时的Webshell交互流量已经伪造成为正常业务流量

7、针对php木马，可以直接复制整个响应包数据    

此时的Webshell交互流量，会伪造业务的正常响应头内容

针对请求头还需要手动配置UA、Content-type等，才能达到完美

XG拟态会持续更新免杀demo，多多支持star

https://github.com/xiaogang000/XG_NTAI