主页 > 网络知识 > 远控免杀从入门到实践(2)工具总结篇

远控免杀从入门到实践(2)工具总结篇

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 

《远控免杀从入门到实践》系列文章目录:

1、远控免杀从入门到实践 (1)基础篇

2、远控免杀从入门到实践 (2)工具总结篇

3、远控免杀从入门到实践 (3)代码篇-C/C++

4、远控免杀从入门到实践 (4)代码篇-C#

5、远控免杀从入门到实践 (5)代码篇-Python

6、远控免杀从入门到实践 (6)代码篇-Powershell

7、远控免杀从入门到实践 (7)代码篇-Golang+Ruby

8、远控免杀从入门到实践 (8)白名单总结篇

9、远控免杀从入门到实践 (9)深入免杀 (暂定)

10、远控免杀从入门到实践 (10)自研工具篇 (暂定)

一、前言

在了解了免杀的一些基础知识和 Metasploit 自带的一些免杀方式之后,我开始学习和研究市面上知名度比较高的免杀工具,从互联网上找到了大约 30 多个免杀工具,从中筛选出来了 21 个工具进行免杀测试和学习,总耗时一个多月时间。

这些工具有的免杀效果也算一般,但可能只是因为发布时间长了一些,生成的 payload 都被杀软都加入了特征库,有几款工具都是在 blackhat 大会上发布的,甚至在免杀史上具有一些里程碑意义,但目前来看免杀效果也比较一般了。我们主要是学习他们的免杀原理和技巧,进而能打造自己的免杀秘术。

已完成的免杀文章及相关软件下载:https://github.com/TideSec/BypassAntiVirus 

二、免杀效果概览

本文工具篇涉及的工具:Veil、Venom、Shellter、BackDoor-Factory、Avet、TheFatRat、Avoidz、Green-Hat-Suite、zirikatu、AVIator、DKMC、Unicorn、Python-Rootkit、DKMC、Unicorn、Python-Rootkit、ASWCrypter、nps_payload、GreatSCT、HERCULES、SpookFlare、SharpShooter、CACTUSTORCH、Winpayload 等。

免杀测试主要是使用了 metasploit 或 cobaltstrike 生成的代码或程序进行免杀处理,在实验机 (win7 x64) 上安装了 360 全家桶和火绒进行本地测试,在 https://www.virustotal.com/上进行在线查杀(如果是自己做免杀,建议测试机不要联互联网,更不要上传到 virustotal.com 类似的平台上)。

我从 virustotal.com 中选择了几款常见的杀软拿出来做个对比。

几点说明:

1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了 Bypass。

2、为了更好的对比效果,大部分测试 payload 均使用 msf 的 windows/meterperter/reverse_tcp 模块生成。

3、由于本机测试时只是安装了 360 全家桶和火绒,所以默认情况下 360 和火绒杀毒情况指的是静态+动态查杀。360 杀毒版本 5.0.0.8160(2020.01.01),火绒版本 5.0.34.16(2020.01.01),360 安全卫士 12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在 virustotal.com(简称 VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为杀软查杀能力或免杀能力的判断指标。

5、完全不必要苛求一种免杀技术能 bypass 所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能 bypass 目标主机上的杀软就足够了。

 

远控免杀从入门到实践(2)工具总结篇

远控免杀从入门到实践(2)工具总结篇

 

由于每种免杀方法和工具之前都发过文章一一介绍了,这里只是做一个总结和索引,所以本文中尽量只是简要文字描述,不然的话这一篇文章可能会太超长了。

三、工具免杀 3.1 Veil 免杀 (VT 免杀率 23/71)

操作便利★★

免杀效果★★★

推荐指数★★★

详细文章链接:https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw

Veil、Venom 和 Shellter 是三大老牌免杀工具,虽然说人怕出名猪怕壮,但目前这几款免杀工具在扩展性和免杀能力方面依然有着不错的表现。Veil 可以生成基于 c、go、ruby、python、c#、perl、powershell 等格式的 payload,这点来说绝对强于其他绝大部分免杀工具。

Veil 是一个用 python 写的免杀框架,可以将任意脚本或一段 shellcode 转换成 Windows 可执行文件,还能利用 Metasploit 框架生成相兼容的 Payload 工具,从而逃避了常见防病毒产品的检测。

Veil 的手工安装比较费劲,好在有 docker 镜像,可以直接 pull 回本地安装使用。

3.1.1 使用 veil 直接生成 exe(VT 查杀率 44/70)

veil 可以直接生成支持 msf 的 payload。测试时使用 go 语言生成 msf 的 payload。

在测试主机执行 go_msf.exe,msf 中可上线。virustotal.com 中 44/71 个报毒

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!