工具解析|杀毒引擎惨遭打脸,黑帽大会爆惊天免杀工具

2017-08-04 538156人围观 ,发现 22 个不明物体 工具资讯

*本文原创作者:2cat,本文属FreeBuf原创奖励计划,未经许可禁止转载

今年的黑帽大会上,可谓是精彩不断。与往届大会对比看来,当属2017这届最有看头。各种推陈出新的技术暂且不论,光是爆出的新免杀工具AVET就足以惊艳全场。

该工具具有极强的病毒逃避功能,可以使原本弱小的病毒成为强力杀手,同时还可以使它们变为查杀工具的噩梦。

今天就来和大家一起分享下有关这款AVET免杀工具的测试情况。

首先,测试该工具前我们最好先部署一个基础的安全环境,以便应用于对它的测试,避免自己兴奋过头而中招,那样就很尴尬了。

安全环境设置好后,我们还需要确认机器中是否安装了Wine。

确认工作完毕后,我们开始下载测试所需的编译器TDM-GCC。

此图为下载界面展示

说起来tdm-gcc编辑器功能还是很强大的,既可以编译64位系统所需的binary,也可以支持编译32位系统的binary。当然如果你不喜欢它的风格,还可以考虑使用MinGW、MinGW-64这类编译器。

整个安装过程比较简单,一路默认下一步即可完成。

2.jpeg

安装步骤

安装步骤

安装步骤

安装步骤

安装步骤

安装步骤

安装步骤

既然编译器已经安装完毕了,接下来我们就要进入正题了,下载AVET免杀工具。

下载AVET免杀工具

下载后大家可以通过Build来查看其中可被自己所利用的脚本文件。

下载后大家可以通过Build来查看其中可被自己所利用的脚本文件

从图中我们可以发现绿色字体显示的内容为我们目前可使用的文件,且支持系统位数也标记的十分清晰。

既然了解了它里面可供选择的文件内容,我们也不要再耽误时间了,继续向下进发。

可以对攻击机IP地址进行配置及生成免杀文件的信息

很快,我们看到了可以对攻击机IP地址进行配置及生成免杀文件的信息。

由于我测试时使用的是64位系统脚本,为了能够使后门反弹回攻击机的信息准确到位,便对LHOST和LPORT参数进行调整并设置接收时使用的IP地址(图中红框标记处),具体命令命令如下:

gedit build_win64_meterpreter_rev_tcp_xor_fopen.sh   //修改LHOST和LPORT参数

在此补充说明,无论是64位还是32位系统脚本,攻击端的LHOST和LPORT都需要重新调整配置,从而确保你接收信息时不会出现意外情况。

成功修改后,大家还会碰到一个比较尴尬的问题,这就是编译环境会出现异常。

编译环境会出现异常

可能这个编译环境出现异常的问题算是一个坑吧,如果大家也碰到同类情况,只需要重新对内容进行编辑即可。PS:此前在关注此类内容时,经常发现被删减的环节,致使有兴趣的朋友在测试时碰到各种无奈。

只需要重新对内容进行编辑即可

既然编译的异常被我们解决掉了,那么就开工干活,创建Windows X64系统下可执行的文件。

创建Windows X64系统下可执行的文件

很快pwn.exe文件被成功创建生成,为我们节省了不少操作时间。

wn.exe文件被成功创建生成

拿到生成好的pwn.exe文件不用犹豫,直接上传到远程被攻击的目标客户端主机中并开始运行。

直接上传到远程被攻击的目标客户端主机中并开始运行

这时我们之前已创建好的监听端会成功接收到被攻击目标客户端所反馈的信息,并轻松获取系统的shell。

轻松获取系统的shell

既然目标客户端已经被我们使用的AVET生成文件所感染,就赶快验证下它的免杀效果吧。谁知,扫描的结果让我感到有些意外,因为测试时所使用的各种杀毒引擎居然无法查出它,扫描结果显示竟然是0%。由此可以证明AVET真的实现了完美的免杀结果。

最后,在这举国欢庆的特殊节日里,庆祝祖国建军90周年活动成功,并预祝祖国繁荣昌盛、国强民富。

*本文原创作者:2cat,本文属FreeBuf原创奖励计划,未经许可禁止转载

这些评论亮了

  •  CLAY (1级) 这家伙太懒了,还未填写个人描述! 回复
    一个大大的CMD框就在那挂着,一关shell就断开了,这样的payload真侮辱被害人的智商。
    )43( 亮了
  • Green_m (4级) green-m.github.io 回复
    Freebuf是请了UC的小编过来取标题吧?
    )23( 亮了
  •  CLAY (1级) 这家伙太懒了,还未填写个人描述! 回复
    @ langyajiekou  像这样内网免杀的payload很多,你试试外网连接360报毒不,我们更应该讨论外网,外网。
    )13( 亮了
  • “下载后大家可以通过Build来查看其中可被自己所利用的脚本文件。”
    ——译者大概是囫囵吞枣的翻译,且不懂linux。明明是cd进入Build目录,然后ls查看所有文件;
    )13( 亮了
  • 橙影 回复
    comodo开HIPS疯狂模式 网络防火墙全部,防住这个问题不大。
    之前看到一个免杀勒索软件,测试之后。结果是
    安天 帮助手册都被加密了
    金山 一点反应都没有就被加密了
    瑞星之剑 有效防御
    某数字开启防勒索 直接被加密
    卡巴斯基收费版 直接被加密
    但是对于有强HIPS和防火墙的杀软 问题不大
    )7( 亮了
发表评论

已有 22 条评论

取消
Loading...
css.php