1、文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
2、文中提到的杀软检测指标是 virustotal.com(简称VT)上在线查杀结果,所以只是代表了静态查杀能力,数据仅供参考,不足以作为杀软查杀能力或免杀工具的判断指标。
《远控免杀从入门到实践》系列文章目录:
1、远控免杀从入门到实践(1)-基础篇
2、远控免杀从入门到实践(2)-工具总结篇
3、远控免杀从入门到实践(3)-代码篇-C/C++
4、远控免杀从入门到实践(4)-代码篇-C#
5、远控免杀从入门到实践(5)-代码篇-Python
6、远控免杀从入门到实践(6)-代码篇-Powershell
7、远控免杀从入门到实践(7)-代码篇-Golang+Ruby
8、远控免杀从入门到实践(8)-白名单总结篇
9、远控免杀从入门到实践(9)-深入免杀(暂定)
10、远控免杀从入门到实践(10)-自研工具篇(暂定)
一、前言一直从事web安全多一些,对waf绕过还稍微有些研究,但是对远控免杀的认知还大约停留在ASPack、UPX加壳、特征码定位及修改免杀的年代。近两年随着hw和红蓝对抗的增多,接触到的提权、内网渗透、域渗透也越来越多。攻击能力有没有提升不知道,但防护水平明显感觉提升了一大截,先不说防护人员的技术水平如果,最起码各种云WAF、防火墙、隔离设备部署的多了,服务器上也经常能见到安装了杀软、软waf、agent等等,特别是某数字杀软在国内服务器上尤为普及。这个时候,不会点免杀技术就非常吃亏了。
但web狗一般对逆向和二进制都不大熟,编译运行别人的代码都比较费劲,这时候就只能靠现成的工具来曲线救国了。为此,我从互联网上搜集了大约20款知名度比较高的免杀工具研究免杀原理及免杀效果测试,后面还学习了一下各种语言编译加载shellcode的各种姿势,又补充了一些白名单加载payload的常见利用,于是就有了这一个远控免杀的系列文章。
1、工具篇内容:msf自免杀、Veil、Venom、Shellter、BackDoor-Factory、Avet、TheFatRat、Avoidz、Green-Hat-Suite、zirikatu、AVIator、DKMC、Unicorn、Python-Rootkit、DKMC、Unicorn、Python-Rootkit、ASWCrypter、nps_payload、GreatSCT、HERCULES、SpookFlare、SharpShooter、CACTUSTORCH、Winpayload等。
2、代码篇内容:C/C++、C#、python、powershell、ruby、go等。
3、白名单内容:MsBuild、Msiexec、mshta、InstallUtil、rundll32、Regsvr 32、Cmstp、Wmic、CSC、Regasm、Regsvcs、Control、Msxsl、Odbcconf、Compiler等。
已完成的免杀文章及相关软件下载:https://github.com/TideSec/BypassAntiVirus ,对免杀感兴趣的小伙伴可以微信关注”Tide安全团队”公众号或与我联系。
第一篇基础篇内容比较水,主要介绍了一下杀毒软件工作原理和免杀原理,并在后面简单介绍了Metasploit自带的一些基础的免杀方式(8种方式),大佬勿喷。部分内容参考互联网资料,感谢各位前辈大佬的无私分享。
在免杀方面任晓辉编著了一本非常专业的书《黑客免杀攻防》,感兴趣的可以看一下。
二、免杀概念免杀,wiki百科上介绍:也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。
三、杀毒软件检测方式 3.1 杀软常见扫描方式1、扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。
2、程序窜改防护:即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑。
3、修复技术:即是对恶意程序所损坏的文件进行还原
4、急救盘杀毒:利用空白U盘制作急救启动盘,来检测电脑病毒。
5、智能扫描:扫描最常用的磁盘,系统关键位置,耗时较短。
6、全盘扫描:扫描电脑全部磁盘,耗时较长。
7、勒索软件防护:保护电脑中的文件不被黑客恶意加密。
8、开机扫描:当电脑开机时自动进行扫描,可以扫描压缩文档和可能不需要的程序
3.2 监控技术1、内存监控:当发现内存中存在病毒的时候,就会主动报警;监控所有进程;监控读取到内存中的文件;监控读取到内存的网络数据。
2、文件监控:当发现写到磁盘上的文件中存在病毒,或者是被病毒感染,就会主动报警。
3、邮件监控:当发现电子邮件的附件存在病毒时进行拦截。
4、网页防护:阻止网络攻击和不安全下载。
5、行为防护:提醒用户可疑的应用程序行为。
四、扫描引擎 4.1 特征码扫描